i4mr00t
Goto Top

Windows Server - DNS Hilfe!

Hallo zusammen,

folgendes Szenario bei uns:

25 Mitarbeiter mit Notebooks dürfen bis zu 3 Tage/ Woche ins Homeoffice.
Im Büro - parallele Nutzung von WLAN + LAN möglich (gleiche Subnetz - Ich weiß ist so semi gut, aber IT-Leiter und GL geben kein eigenes Subnetz frei).
IP-Adressen werden im Büro vom Windows DHCP bereitgestellt.
HomeOffice über VPN (Securepoint UTM + SSL-VPN) mit eigenem Subnetz.

DHCP-Netz = 10.10.11.0/23
VPN-Netz = 192.168.111.0/24

Wie bekomme ich es hin das die DNS Einträge (rDNS) vernünftig gesetzt und auch gelöscht werden (also immer aktuell) und ich über Hostname den Client ansprechen kann, egal ob er im Homeoffice ist oder hier im Büro (WLAN erstmal außen vor, das Boxe ich noch durch!!!)

Was hab ich bis jetzt alles versucht:

Client-Einstellungen:
GPO gesetzt das die Clients Ihre Einträge selber setzen dürfen. <- GPO funktioniert

DHCP-Einstellungen:
screenshot 2023-11-14 094544
Anmeldeinformationen für DNS Aktualisierung hinzugefügt <- funktioniert

Verschiedene DHCP-Leases + DNS Alterungen gesetzt.

Standard:
DHCP-Lease (Standard - 8Tage)
Alterung (Standard - 7 Tage)

verschiedene Tests zwischen 1-8 Tage probiert:
DHCP-Lease (1-8)
Alterung (1-8)

Aktuell:
DHCP-Lease 1Tag (aktuell)
Alterung 1Tag (aktuell)

Problem was ich habe ist, das immer mal wieder ein oder mehrere Clients nicht ansprechbar sind weil Sie entweder noch die IP aus dem VPN (Homeoffice) oder aber noch die IP aus dem Büro haben.
Also grundsätzlich Funktioniert es soweit ja alles, aber eben ziemlich träge, wie ich finde.

In der aktuellen Konfiguration mit Alterung 1 Tag hab ich halt das Problem das die Clients im Homeoffice, welche 2 oder mehr Tage hintereinander dort sind, keine neuen Einträge schreiben. Es fehlt dann nach dem 1 Tag wieder der Eintrag weil der VPN-Server keine neue IP verteilt. Leasetime ist im VPN-Server nicht einstellbar.
Lasse ich den Lease aber auf 8Tage und die Alterung auf 7 Tage, ist es für mein empfinden noch träger beim wechseln der Standorte (Homeoffice <-> Büro).

Ist es überhaupt sinnvoll möglich, so wie ich mir das vorstelle? oder muss ich IMMER mit irgendwelche Seiteneffekten leben? oder hab ich sogar ein Brett vorm Kopf und finde meinen Fehler nicht?

Quellen die mir bekannt sind und ich für gut empfinde:
https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-serve ...

Bin gespannt ob und wie dies gelöst werden kann.

Beste Grüße!!!

Content-ID: 73433227381

Url: https://administrator.de/forum/windows-server-dns-hilfe-73433227381.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

killtec
killtec 14.11.2023 aktualisiert um 11:02:18 Uhr
Goto Top
Hi,
hast du denn auch das ReverseDNS Netz 192.168.111.0/24 im DNS angelegt?

Beispiel:
dns_reverse


Wenn der nicht angelegt ist wird das dann nichts, da er nichts hat wo er die Info hin speichern kann.

Gruß
i4mr00t
i4mr00t 14.11.2023 um 11:22:56 Uhr
Goto Top
Hi killtec,

danke für die Rückmeldung.

Soweit läuft ja alles bei mir, es geht ja hauptsächlich um den Wechsel vom Homeoffice / Büro.

Die Zone 111.168.192.in-addr.arpa sowie die Zone 11.10.10.in-addr.arpa sind unter den Reverse-Lookupzonen im Windows DNS eingetragen und werden auch geschrieben, also ja. face-smile
killtec
killtec 14.11.2023 um 12:36:32 Uhr
Goto Top
Dann wäre die nächste Überlegung, ob das vom VPN Endpoint richtig weiter gereicht wird.
i4mr00t
i4mr00t 14.11.2023 aktualisiert um 13:37:43 Uhr
Goto Top
Mal ja, mal nein. Würde ich sagen...

Ein Beispiel von heute morgen:

Client Computer war die ganze Woche im Büro und ist seit heute morgen im Homeoffice.
Mitarbeiter hat sich sofort nach Arbeitsbeginn mit dem VPN verbunden (ca 6:50Uhr).

Ich kann Mitarbeiter aber nicht per Hostnamen erreichen.

Danach hab ich im DNS geschaut und dieser Computer hatte noch seine alte IP-Adresse im DNS (10.10.11.xxx), sowohl in der Forward, als auch in der Reverse-Zone.
Ein Blick auf die Firewall zeigte mir aber, das genau dieser Client mit dem VPN verbunden ist und eigentlich einen Eintrag hätte schreiben müssen.

Dieser Eintrag fehlte aber, bis gerade......
Ich habe gerade im DNS nachgeschaut und den Eintrag gefunden, mit einem Zeitstempel von 13.00Uhr wie im Bild zu sehen:
screenshot 2023-11-14 132051

Laut Benutzer und Firewall ist dieser User aber nicht neu verbunden wurden sondern seit heute morgen aktiv:
adwadawd

Warum erhalte ich im DNS aber erst Stunden/Tage später diese Aktualisierung?

FYI: die IP-Adressen im Bild sind zu diesem Beitrag unterschiedlich, das ist mir bewusst. Ich hatte extra andere gewählt für diesen Beitrag....
LukasR
LukasR 14.11.2023 um 14:48:54 Uhr
Goto Top
Habt ihr einen AD-Blocker im Unternehmensnetzwerk eingesetzt? Die Deaktivierung war bei uns die triviale Lösungen vieler Stunden an Troubleshooting.

Lg
i4mr00t
i4mr00t 14.11.2023 um 15:03:50 Uhr
Goto Top
Hallo LukasR,

danke für deine Rückmeldung.

Du meinst einen Ad-Blocker ala PiHole oder Adguard?
Nein, aber wir haben einen Ad-Blocker als Browsererweiterung...
LukasR
LukasR 14.11.2023 um 15:15:26 Uhr
Goto Top
Genau. Oder einen, der in der Firewall integriert ist. Die Browser-Extension dürfte dem DNS eigentlich keine Schwierigkeiten machen...

Kann man das evtl. auf bestimmte User eingrenzen oder ist es ein globales Problem?
Michi91
Michi91 14.11.2023 um 16:06:00 Uhr
Goto Top
Wird der Eintrag aktualisiert, wenn du ein ipconfig /registerdns auf dem Client durchführst?
nEmEsIs
Lösung nEmEsIs 14.11.2023 um 18:08:39 Uhr
Goto Top
Hi

Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?

Ist dein VPN Netz in den AD Sites Richtung eingetragen ?

Sind die beiden Haken in deiner VPN Verbindung gesetzt?
img_5831.

Habe es in einem Fall mal so lösen müssen, dass direkt nach der aufgebauten VPN Verbindung über einen Ereigniscode ein Scheduled Task ein ipconfig /registerdns auslöst.

img_5832.

Diesen via GPO verteilt.

Ggf kann man bei der Securepoint UTM Skripte hinterlegen, was nach einer erfolgreichen Verbindung ausgeführt wird. Kenn das so von Citrix Secure Access Client, dass man das machen kann.

Mit freundlichen Grüßen Nemesis
i4mr00t
i4mr00t 15.11.2023 aktualisiert um 07:46:27 Uhr
Goto Top
Guten Morgen zusammen,

Zitat von @LukasR:

Genau. Oder einen, der in der Firewall integriert ist. Die Browser-Extension dürfte dem DNS eigentlich keine Schwierigkeiten machen...

Kann man das evtl. auf bestimmte User eingrenzen oder ist es ein globales Problem?

Ja es ist ein globales Problem.

Zitat von @Michi91:

Wird der Eintrag aktualisiert, wenn du ein ipconfig /registerdns auf dem Client durchführst?

Jain, mal ja mal nein. Den Befehl gebe ich dem Client nach erfolgreicher Verbindung über den VPN Client mit.


Zitat von @nEmEsIs:

Hi

Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?

Ist dein VPN Netz in den AD Sites Richtung eingetragen ?

Sind die beiden Haken in deiner VPN Verbindung gesetzt?
img_5831.

Habe es in einem Fall mal so lösen müssen, dass direkt nach der aufgebauten VPN Verbindung über einen Ereigniscode ein Scheduled Task ein ipconfig /registerdns auslöst.

img_5832.

Diesen via GPO verteilt.

Ggf kann man bei der Securepoint UTM Skripte hinterlegen, was nach einer erfolgreichen Verbindung ausgeführt wird. Kenn das so von Citrix Secure Access Client, dass man das machen kann.

Mit freundlichen Grüßen Nemesis

Ist dein DNS auf sichere oder unsichere Updates zulassen gestellt ?
Stehen auf sichere Updates und müssen auch so bleiben.

Ist dein VPN Netz in den AD Sites Richtung eingetragen ?
VPN Netz habe ich in den AD Sites eingetragen.

Sind die beiden Haken in deiner VPN Verbindung gesetzt?
Die beiden Haken sind in den VPN Verbindungen an allen Clients eingetragen.

Ich lasse nach dem VPN-Verbindungsaufbau ein Skript ausführen welches bestimmte Netzlaufwerke (alte Laufwerke, die bald abgeschaltete werden.) verbindet und am Ende ein ipconfig /registerdns ausführt.


Ich kann mich dran erinnern das an meinem letzten Homeoffice Tag letzte Woche genau das gleiche Problem bei mir war, kein Eintrag wurde geschrieben nach erfolgreicher Verbindung und ipconfig /registerdns.

Heute bin ich wieder im Homeoffice und der Eintrag wurde sofort richtig gesetzt....
nEmEsIs
Lösung nEmEsIs 15.11.2023 um 07:48:19 Uhr
Goto Top
Hi

Dann prüfe bitte noch die zwei Dinge bzw teste mal die Verteilung dieser GPO Settings.

img_5834.

img_5835.

Mit freundlichen Grüßen Nemesis
i4mr00t
i4mr00t 15.11.2023 um 07:57:36 Uhr
Goto Top
Hi,

vielen Dank, die mir fehlenden GPOs werde ich mal testen...

Aktuell verteile ich nur folgende DNS-Einstellungen an die Clients:
dsdasddasdadaddasd
i4mr00t
i4mr00t 15.11.2023 um 08:22:33 Uhr
Goto Top
Den Punkt "Turn off smart multi-homed name resolution" gibt es bei mir nicht. (Windows Server 2022 - Standard)

dnsgpo

Ich habe allerdings zweimal "Multicastnamensauflösung".

1. Aktiviert:
mcast1

2. nicht konfiguriert:
mcast2
nEmEsIs
nEmEsIs 15.11.2023 um 09:24:58 Uhr
Goto Top
Hi

Das ist der 1. Screenshot und das hast du ja aktiviert.

Unglücklich seitens MS übersetzt.

Denk an den Regwert "DisableNRPTForAdapterRegistration" aus den GPPs von oben und dann das Gerät Neustarten.


Mit freundlichen Grüßen Nemesis
i4mr00t
i4mr00t 15.11.2023 um 09:51:43 Uhr
Goto Top
Hi,

danke, den hatte ich tatsächlich vergessen face-smile
i4mr00t
i4mr00t 16.11.2023 aktualisiert um 10:23:22 Uhr
Goto Top
Hallo zusammen,

User der gestern im Büro war, dort auch einmal Neugestartet hat.
GPOs also bekommen, geprüft!

Registriert sich heute wieder nicht im DNS.
Weder in der Forward-Zone noch in der Reverse-Zone.

Er hat weiterhin seine IP aus dem Büro.

Mal abwarten was die Zeit bringt, evtl kommt der Eintrag ja wieder ein paar Stunden zeitversetzt.

FordwardZone:
dnsfwdz

ReverseZone VPN:
dnsrwdz

ReverseZone Büro:
10nernetz

Firewall VPN Anmeldungszeitpunkt:
user
i4mr00t
i4mr00t 17.11.2023 aktualisiert um 07:56:36 Uhr
Goto Top
Guten Morgen zusammen,

zur Info, der Eintrag ist gestern Abend um 19:00uhr erschienen.
rdns

Anmeldungen Firewall dieses Clients:
aeawdwda

DC01 ist NTP-Server....
Zeiten stimmen überein Firewall <-> DC01
nEmEsIs
nEmEsIs 17.11.2023 um 08:03:53 Uhr
Goto Top
Hi

Bau mal in dein Skript, welches nach dem verbinden die Netzlaufwerke verbindet ein gpupdate ein.

Mit freundlichen Grüßen Nemesis
i4mr00t
i4mr00t 17.11.2023 um 10:25:44 Uhr
Goto Top
Hi

werd ich testen, danke!
i4mr00t
i4mr00t 21.11.2023 um 15:07:01 Uhr
Goto Top
Hi!

es scheint zu funktionieren, bis jetzt keinen Client mehr gehabt der sich nicht registriert.

Danke für deine Hilfe @ nEmEsIs
i4mr00t
i4mr00t 04.12.2023 um 06:55:39 Uhr
Goto Top
Hallo zusammen,

ich wollte mich nach meinem Urlaub nochmal zurückmelden und bestätigen das o.g. Änderungen den gewünschten Erfolg brachten.

Danke für eure Hilfe! face-smile
i4mr00t
i4mr00t 16.01.2024 um 11:47:23 Uhr
Goto Top
Hallo zusammen,

ich muss das Thema leider nochmal hervor holen denn einige Clients tragen sich wieder nicht im DNS vernünftig ein wenn Sie vom Büro ins Homeoffice wechseln.

Sobald der Client vom Büro ins Homeoffice wechselt behält er seinen Eintrag in der Forward-Lookupzone. Entsprechend registriert er auch seinen Eintrag in der Reverse Zone dann nicht.
WARUM?

Ich helfe mir momentan wie folgt:

1. Löschen der falschen Forward und Reverse Einträge des Clients.

2. kurz warten

3. Richtige Einträge werden automatisch gesetzt.

Wieso macht der Client das nicht von selbst sobald er sich im Homeoffice im Netz bzw. VPN anmeldet?

Er hat Berechtigung dies zu tun.
Er bekommt beim Verbinden gesagt das er es machen soll (ipconfig /registerdns)

Er tuts aber nicht....

Im Eventlog des Clients ist folgender Eintrag zu finden:

screenshot 2024-01-16 114218
(Der Log ist von meinem Client, deshalb nicht die VPN-IPs. Der Eintrag ist aber identisch.)