22
Windows Server - DNS Hilfe!
Hallo zusammen,
folgendes Szenario bei uns:
25 Mitarbeiter mit Notebooks dürfen bis zu 3 Tage/ Woche ins Homeoffice.
Im Büro - parallele Nutzung von WLAN + LAN möglich (gleiche Subnetz - Ich weiß ist so semi gut, aber IT-Leiter und GL geben kein eigenes Subnetz frei).
IP-Adressen werden im Büro vom Windows DHCP bereitgestellt.
HomeOffice über VPN (Securepoint UTM + SSL-VPN) mit eigenem Subnetz.
DHCP-Netz = 10.10.11.0/23
VPN-Netz = 192.168.111.0/24
Wie bekomme ich es hin das die DNS Einträge (rDNS) vernünftig gesetzt und auch gelöscht werden (also immer aktuell) und ich über Hostname den Client ansprechen kann, egal ob er im Homeoffice ist oder hier im Büro (WLAN erstmal außen vor, das Boxe ich noch durch!!!)
Was hab ich bis jetzt alles versucht:
Client-Einstellungen:
GPO gesetzt das die Clients Ihre Einträge selber setzen dürfen. <- GPO funktioniert
DHCP-Einstellungen:
Anmeldeinformationen für DNS Aktualisierung hinzugefügt <- funktioniert
Verschiedene DHCP-Leases + DNS Alterungen gesetzt.
Standard:
DHCP-Lease (Standard - 8Tage)
Alterung (Standard - 7 Tage)
verschiedene Tests zwischen 1-8 Tage probiert:
DHCP-Lease (1-8)
Alterung (1-8)
Aktuell:
DHCP-Lease 1Tag (aktuell)
Alterung 1Tag (aktuell)
Problem was ich habe ist, das immer mal wieder ein oder mehrere Clients nicht ansprechbar sind weil Sie entweder noch die IP aus dem VPN (Homeoffice) oder aber noch die IP aus dem Büro haben.
Also grundsätzlich Funktioniert es soweit ja alles, aber eben ziemlich träge, wie ich finde.
In der aktuellen Konfiguration mit Alterung 1 Tag hab ich halt das Problem das die Clients im Homeoffice, welche 2 oder mehr Tage hintereinander dort sind, keine neuen Einträge schreiben. Es fehlt dann nach dem 1 Tag wieder der Eintrag weil der VPN-Server keine neue IP verteilt. Leasetime ist im VPN-Server nicht einstellbar.
Lasse ich den Lease aber auf 8Tage und die Alterung auf 7 Tage, ist es für mein empfinden noch träger beim wechseln der Standorte (Homeoffice <-> Büro).
Ist es überhaupt sinnvoll möglich, so wie ich mir das vorstelle? oder muss ich IMMER mit irgendwelche Seiteneffekten leben? oder hab ich sogar ein Brett vorm Kopf und finde meinen Fehler nicht?
Quellen die mir bekannt sind und ich für gut empfinde:
https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-serve ...
Bin gespannt ob und wie dies gelöst werden kann.
Beste Grüße!!!
folgendes Szenario bei uns:
25 Mitarbeiter mit Notebooks dürfen bis zu 3 Tage/ Woche ins Homeoffice.
Im Büro - parallele Nutzung von WLAN + LAN möglich (gleiche Subnetz - Ich weiß ist so semi gut, aber IT-Leiter und GL geben kein eigenes Subnetz frei).
IP-Adressen werden im Büro vom Windows DHCP bereitgestellt.
HomeOffice über VPN (Securepoint UTM + SSL-VPN) mit eigenem Subnetz.
DHCP-Netz = 10.10.11.0/23
VPN-Netz = 192.168.111.0/24
Wie bekomme ich es hin das die DNS Einträge (rDNS) vernünftig gesetzt und auch gelöscht werden (also immer aktuell) und ich über Hostname den Client ansprechen kann, egal ob er im Homeoffice ist oder hier im Büro (WLAN erstmal außen vor, das Boxe ich noch durch!!!)
Was hab ich bis jetzt alles versucht:
Client-Einstellungen:
GPO gesetzt das die Clients Ihre Einträge selber setzen dürfen. <- GPO funktioniert
DHCP-Einstellungen:
Verschiedene DHCP-Leases + DNS Alterungen gesetzt.
Standard:
DHCP-Lease (Standard - 8Tage)
Alterung (Standard - 7 Tage)
verschiedene Tests zwischen 1-8 Tage probiert:
DHCP-Lease (1-8)
Alterung (1-8)
Aktuell:
DHCP-Lease 1Tag (aktuell)
Alterung 1Tag (aktuell)
Problem was ich habe ist, das immer mal wieder ein oder mehrere Clients nicht ansprechbar sind weil Sie entweder noch die IP aus dem VPN (Homeoffice) oder aber noch die IP aus dem Büro haben.
Also grundsätzlich Funktioniert es soweit ja alles, aber eben ziemlich träge, wie ich finde.
In der aktuellen Konfiguration mit Alterung 1 Tag hab ich halt das Problem das die Clients im Homeoffice, welche 2 oder mehr Tage hintereinander dort sind, keine neuen Einträge schreiben. Es fehlt dann nach dem 1 Tag wieder der Eintrag weil der VPN-Server keine neue IP verteilt. Leasetime ist im VPN-Server nicht einstellbar.
Lasse ich den Lease aber auf 8Tage und die Alterung auf 7 Tage, ist es für mein empfinden noch träger beim wechseln der Standorte (Homeoffice <-> Büro).
Ist es überhaupt sinnvoll möglich, so wie ich mir das vorstelle? oder muss ich IMMER mit irgendwelche Seiteneffekten leben? oder hab ich sogar ein Brett vorm Kopf und finde meinen Fehler nicht?
Quellen die mir bekannt sind und ich für gut empfinde:
https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-serve ...
Bin gespannt ob und wie dies gelöst werden kann.
Beste Grüße!!!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73433227381
Url: https://administrator.de/contentid/73433227381
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
22 Kommentare
Neuester Kommentar
Hi,
hast du denn auch das ReverseDNS Netz 192.168.111.0/24 im DNS angelegt?
Beispiel:
Wenn der nicht angelegt ist wird das dann nichts, da er nichts hat wo er die Info hin speichern kann.
Gruß
hast du denn auch das ReverseDNS Netz 192.168.111.0/24 im DNS angelegt?
Beispiel:
Wenn der nicht angelegt ist wird das dann nichts, da er nichts hat wo er die Info hin speichern kann.
Gruß
Hi killtec,
danke für die Rückmeldung.
Soweit läuft ja alles bei mir, es geht ja hauptsächlich um den Wechsel vom Homeoffice / Büro.
Die Zone 111.168.192.in-addr.arpa sowie die Zone 11.10.10.in-addr.arpa sind unter den Reverse-Lookupzonen im Windows DNS eingetragen und werden auch geschrieben, also ja.
danke für die Rückmeldung.
Soweit läuft ja alles bei mir, es geht ja hauptsächlich um den Wechsel vom Homeoffice / Büro.
Die Zone 111.168.192.in-addr.arpa sowie die Zone 11.10.10.in-addr.arpa sind unter den Reverse-Lookupzonen im Windows DNS eingetragen und werden auch geschrieben, also ja.
Dann wäre die nächste Überlegung, ob das vom VPN Endpoint richtig weiter gereicht wird.
Mal ja, mal nein. Würde ich sagen...
Ein Beispiel von heute morgen:
Client Computer war die ganze Woche im Büro und ist seit heute morgen im Homeoffice.
Mitarbeiter hat sich sofort nach Arbeitsbeginn mit dem VPN verbunden (ca 6:50Uhr).
Ich kann Mitarbeiter aber nicht per Hostnamen erreichen.
Danach hab ich im DNS geschaut und dieser Computer hatte noch seine alte IP-Adresse im DNS (10.10.11.xxx), sowohl in der Forward, als auch in der Reverse-Zone.
Ein Blick auf die Firewall zeigte mir aber, das genau dieser Client mit dem VPN verbunden ist und eigentlich einen Eintrag hätte schreiben müssen.
Dieser Eintrag fehlte aber, bis gerade......
Ich habe gerade im DNS nachgeschaut und den Eintrag gefunden, mit einem Zeitstempel von 13.00Uhr wie im Bild zu sehen:
Laut Benutzer und Firewall ist dieser User aber nicht neu verbunden wurden sondern seit heute morgen aktiv:
Warum erhalte ich im DNS aber erst Stunden/Tage später diese Aktualisierung?
FYI: die IP-Adressen im Bild sind zu diesem Beitrag unterschiedlich, das ist mir bewusst. Ich hatte extra andere gewählt für diesen Beitrag....
Ein Beispiel von heute morgen:
Client Computer war die ganze Woche im Büro und ist seit heute morgen im Homeoffice.
Mitarbeiter hat sich sofort nach Arbeitsbeginn mit dem VPN verbunden (ca 6:50Uhr).
Ich kann Mitarbeiter aber nicht per Hostnamen erreichen.
Danach hab ich im DNS geschaut und dieser Computer hatte noch seine alte IP-Adresse im DNS (10.10.11.xxx), sowohl in der Forward, als auch in der Reverse-Zone.
Ein Blick auf die Firewall zeigte mir aber, das genau dieser Client mit dem VPN verbunden ist und eigentlich einen Eintrag hätte schreiben müssen.
Dieser Eintrag fehlte aber, bis gerade......
Ich habe gerade im DNS nachgeschaut und den Eintrag gefunden, mit einem Zeitstempel von 13.00Uhr wie im Bild zu sehen:
Laut Benutzer und Firewall ist dieser User aber nicht neu verbunden wurden sondern seit heute morgen aktiv:
Warum erhalte ich im DNS aber erst Stunden/Tage später diese Aktualisierung?
FYI: die IP-Adressen im Bild sind zu diesem Beitrag unterschiedlich, das ist mir bewusst. Ich hatte extra andere gewählt für diesen Beitrag....
Habt ihr einen AD-Blocker im Unternehmensnetzwerk eingesetzt? Die Deaktivierung war bei uns die triviale Lösungen vieler Stunden an Troubleshooting.
Lg
Lg
Hallo LukasR,
danke für deine Rückmeldung.
Du meinst einen Ad-Blocker ala PiHole oder Adguard?
Nein, aber wir haben einen Ad-Blocker als Browsererweiterung...
danke für deine Rückmeldung.
Du meinst einen Ad-Blocker ala PiHole oder Adguard?
Nein, aber wir haben einen Ad-Blocker als Browsererweiterung...
1
Genau. Oder einen, der in der Firewall integriert ist. Die Browser-Extension dürfte dem DNS eigentlich keine Schwierigkeiten machen...
Kann man das evtl. auf bestimmte User eingrenzen oder ist es ein globales Problem?
Kann man das evtl. auf bestimmte User eingrenzen oder ist es ein globales Problem?
Wird der Eintrag aktualisiert, wenn du ein ipconfig /registerdns auf dem Client durchführst?
Hi
Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?
Ist dein VPN Netz in den AD Sites Richtung eingetragen ?
Sind die beiden Haken in deiner VPN Verbindung gesetzt?
Habe es in einem Fall mal so lösen müssen, dass direkt nach der aufgebauten VPN Verbindung über einen Ereigniscode ein Scheduled Task ein ipconfig /registerdns auslöst.
Diesen via GPO verteilt.
Ggf kann man bei der Securepoint UTM Skripte hinterlegen, was nach einer erfolgreichen Verbindung ausgeführt wird. Kenn das so von Citrix Secure Access Client, dass man das machen kann.
Mit freundlichen Grüßen Nemesis
Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?
Ist dein VPN Netz in den AD Sites Richtung eingetragen ?
Sind die beiden Haken in deiner VPN Verbindung gesetzt?
Habe es in einem Fall mal so lösen müssen, dass direkt nach der aufgebauten VPN Verbindung über einen Ereigniscode ein Scheduled Task ein ipconfig /registerdns auslöst.
Diesen via GPO verteilt.
Ggf kann man bei der Securepoint UTM Skripte hinterlegen, was nach einer erfolgreichen Verbindung ausgeführt wird. Kenn das so von Citrix Secure Access Client, dass man das machen kann.
Mit freundlichen Grüßen Nemesis
Guten Morgen zusammen,
Ja es ist ein globales Problem.
Jain, mal ja mal nein. Den Befehl gebe ich dem Client nach erfolgreicher Verbindung über den VPN Client mit.
Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?
Stehen auf sichere Updates und müssen auch so bleiben.
Ist dein VPN Netz in den AD Sites Richtung eingetragen ?
VPN Netz habe ich in den AD Sites eingetragen.
Sind die beiden Haken in deiner VPN Verbindung gesetzt?
Die beiden Haken sind in den VPN Verbindungen an allen Clients eingetragen.
Ich lasse nach dem VPN-Verbindungsaufbau ein Skript ausführen welches bestimmte Netzlaufwerke (alte Laufwerke, die bald abgeschaltete werden.) verbindet und am Ende ein ipconfig /registerdns ausführt.
Ich kann mich dran erinnern das an meinem letzten Homeoffice Tag letzte Woche genau das gleiche Problem bei mir war, kein Eintrag wurde geschrieben nach erfolgreicher Verbindung und ipconfig /registerdns.
Heute bin ich wieder im Homeoffice und der Eintrag wurde sofort richtig gesetzt....
Zitat von @LukasR:
Genau. Oder einen, der in der Firewall integriert ist. Die Browser-Extension dürfte dem DNS eigentlich keine Schwierigkeiten machen...
Kann man das evtl. auf bestimmte User eingrenzen oder ist es ein globales Problem?
Genau. Oder einen, der in der Firewall integriert ist. Die Browser-Extension dürfte dem DNS eigentlich keine Schwierigkeiten machen...
Kann man das evtl. auf bestimmte User eingrenzen oder ist es ein globales Problem?
Ja es ist ein globales Problem.
Zitat von @Michi91:
Wird der Eintrag aktualisiert, wenn du ein ipconfig /registerdns auf dem Client durchführst?
Wird der Eintrag aktualisiert, wenn du ein ipconfig /registerdns auf dem Client durchführst?
Jain, mal ja mal nein. Den Befehl gebe ich dem Client nach erfolgreicher Verbindung über den VPN Client mit.
Zitat von @nEmEsIs:
Hi
Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?
Ist dein VPN Netz in den AD Sites Richtung eingetragen ?
Sind die beiden Haken in deiner VPN Verbindung gesetzt?
Habe es in einem Fall mal so lösen müssen, dass direkt nach der aufgebauten VPN Verbindung über einen Ereigniscode ein Scheduled Task ein ipconfig /registerdns auslöst.
Diesen via GPO verteilt.
Ggf kann man bei der Securepoint UTM Skripte hinterlegen, was nach einer erfolgreichen Verbindung ausgeführt wird. Kenn das so von Citrix Secure Access Client, dass man das machen kann.
Mit freundlichen Grüßen Nemesis
Hi
Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?
Ist dein VPN Netz in den AD Sites Richtung eingetragen ?
Sind die beiden Haken in deiner VPN Verbindung gesetzt?
Habe es in einem Fall mal so lösen müssen, dass direkt nach der aufgebauten VPN Verbindung über einen Ereigniscode ein Scheduled Task ein ipconfig /registerdns auslöst.
Diesen via GPO verteilt.
Ggf kann man bei der Securepoint UTM Skripte hinterlegen, was nach einer erfolgreichen Verbindung ausgeführt wird. Kenn das so von Citrix Secure Access Client, dass man das machen kann.
Mit freundlichen Grüßen Nemesis
Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?
Stehen auf sichere Updates und müssen auch so bleiben.
Ist dein VPN Netz in den AD Sites Richtung eingetragen ?
VPN Netz habe ich in den AD Sites eingetragen.
Sind die beiden Haken in deiner VPN Verbindung gesetzt?
Die beiden Haken sind in den VPN Verbindungen an allen Clients eingetragen.
Ich lasse nach dem VPN-Verbindungsaufbau ein Skript ausführen welches bestimmte Netzlaufwerke (alte Laufwerke, die bald abgeschaltete werden.) verbindet und am Ende ein ipconfig /registerdns ausführt.
Ich kann mich dran erinnern das an meinem letzten Homeoffice Tag letzte Woche genau das gleiche Problem bei mir war, kein Eintrag wurde geschrieben nach erfolgreicher Verbindung und ipconfig /registerdns.
Heute bin ich wieder im Homeoffice und der Eintrag wurde sofort richtig gesetzt....
Hi
Dann prüfe bitte noch die zwei Dinge bzw teste mal die Verteilung dieser GPO Settings.
Mit freundlichen Grüßen Nemesis
Dann prüfe bitte noch die zwei Dinge bzw teste mal die Verteilung dieser GPO Settings.
Mit freundlichen Grüßen Nemesis
Hi,
vielen Dank, die mir fehlenden GPOs werde ich mal testen...
Aktuell verteile ich nur folgende DNS-Einstellungen an die Clients:
vielen Dank, die mir fehlenden GPOs werde ich mal testen...
Aktuell verteile ich nur folgende DNS-Einstellungen an die Clients:
Den Punkt "Turn off smart multi-homed name resolution" gibt es bei mir nicht. (Windows Server 2022 - Standard)
Ich habe allerdings zweimal "Multicastnamensauflösung".
1. Aktiviert:
2. nicht konfiguriert:
Ich habe allerdings zweimal "Multicastnamensauflösung".
1. Aktiviert:
2. nicht konfiguriert:
Hi
Das ist der 1. Screenshot und das hast du ja aktiviert.
Unglücklich seitens MS übersetzt.
Denk an den Regwert "DisableNRPTForAdapterRegistration" aus den GPPs von oben und dann das Gerät Neustarten.
Mit freundlichen Grüßen Nemesis
Das ist der 1. Screenshot und das hast du ja aktiviert.
Unglücklich seitens MS übersetzt.
Denk an den Regwert "DisableNRPTForAdapterRegistration" aus den GPPs von oben und dann das Gerät Neustarten.
Mit freundlichen Grüßen Nemesis
Hi,
danke, den hatte ich tatsächlich vergessen
danke, den hatte ich tatsächlich vergessen
Hallo zusammen,
User der gestern im Büro war, dort auch einmal Neugestartet hat.
GPOs also bekommen, geprüft!
Registriert sich heute wieder nicht im DNS.
Weder in der Forward-Zone noch in der Reverse-Zone.
Er hat weiterhin seine IP aus dem Büro.
Mal abwarten was die Zeit bringt, evtl kommt der Eintrag ja wieder ein paar Stunden zeitversetzt.
FordwardZone:
ReverseZone VPN:
ReverseZone Büro:
Firewall VPN Anmeldungszeitpunkt:
User der gestern im Büro war, dort auch einmal Neugestartet hat.
GPOs also bekommen, geprüft!
Registriert sich heute wieder nicht im DNS.
Weder in der Forward-Zone noch in der Reverse-Zone.
Er hat weiterhin seine IP aus dem Büro.
Mal abwarten was die Zeit bringt, evtl kommt der Eintrag ja wieder ein paar Stunden zeitversetzt.
FordwardZone:
ReverseZone VPN:
ReverseZone Büro:
Firewall VPN Anmeldungszeitpunkt:
Guten Morgen zusammen,
zur Info, der Eintrag ist gestern Abend um 19:00uhr erschienen.
Anmeldungen Firewall dieses Clients:
DC01 ist NTP-Server....
Zeiten stimmen überein Firewall <-> DC01
zur Info, der Eintrag ist gestern Abend um 19:00uhr erschienen.
Anmeldungen Firewall dieses Clients:
DC01 ist NTP-Server....
Zeiten stimmen überein Firewall <-> DC01
Hi
Bau mal in dein Skript, welches nach dem verbinden die Netzlaufwerke verbindet ein gpupdate ein.
Mit freundlichen Grüßen Nemesis
Bau mal in dein Skript, welches nach dem verbinden die Netzlaufwerke verbindet ein gpupdate ein.
Mit freundlichen Grüßen Nemesis
Hi
werd ich testen, danke!
werd ich testen, danke!
Hi!
es scheint zu funktionieren, bis jetzt keinen Client mehr gehabt der sich nicht registriert.
Danke für deine Hilfe @ nEmEsIs
es scheint zu funktionieren, bis jetzt keinen Client mehr gehabt der sich nicht registriert.
Danke für deine Hilfe @ nEmEsIs
Hallo zusammen,
ich wollte mich nach meinem Urlaub nochmal zurückmelden und bestätigen das o.g. Änderungen den gewünschten Erfolg brachten.
Danke für eure Hilfe!
ich wollte mich nach meinem Urlaub nochmal zurückmelden und bestätigen das o.g. Änderungen den gewünschten Erfolg brachten.
Danke für eure Hilfe!
Hallo zusammen,
ich muss das Thema leider nochmal hervor holen denn einige Clients tragen sich wieder nicht im DNS vernünftig ein wenn Sie vom Büro ins Homeoffice wechseln.
Sobald der Client vom Büro ins Homeoffice wechselt behält er seinen Eintrag in der Forward-Lookupzone. Entsprechend registriert er auch seinen Eintrag in der Reverse Zone dann nicht.
WARUM?
Ich helfe mir momentan wie folgt:
1. Löschen der falschen Forward und Reverse Einträge des Clients.
2. kurz warten
3. Richtige Einträge werden automatisch gesetzt.
Wieso macht der Client das nicht von selbst sobald er sich im Homeoffice im Netz bzw. VPN anmeldet?
Er hat Berechtigung dies zu tun.
Er bekommt beim Verbinden gesagt das er es machen soll (ipconfig /registerdns)
Er tuts aber nicht....
Im Eventlog des Clients ist folgender Eintrag zu finden:
(Der Log ist von meinem Client, deshalb nicht die VPN-IPs. Der Eintrag ist aber identisch.)
ich muss das Thema leider nochmal hervor holen denn einige Clients tragen sich wieder nicht im DNS vernünftig ein wenn Sie vom Büro ins Homeoffice wechseln.
Sobald der Client vom Büro ins Homeoffice wechselt behält er seinen Eintrag in der Forward-Lookupzone. Entsprechend registriert er auch seinen Eintrag in der Reverse Zone dann nicht.
WARUM?
Ich helfe mir momentan wie folgt:
1. Löschen der falschen Forward und Reverse Einträge des Clients.
2. kurz warten
3. Richtige Einträge werden automatisch gesetzt.
Wieso macht der Client das nicht von selbst sobald er sich im Homeoffice im Netz bzw. VPN anmeldet?
Er hat Berechtigung dies zu tun.
Er bekommt beim Verbinden gesagt das er es machen soll (ipconfig /registerdns)
Er tuts aber nicht....
Im Eventlog des Clients ist folgender Eintrag zu finden:
