Gerry1420 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Hallo, ich hab hier ein kleines Problem mit meiner DNS-Auflösung. Wir haben eine W2k3-Domäne mit AD (IP Bereich xxx.xxx.1.xxx). In diesem Bereich hängt auch unser DNS-Server. Wir betreiben eine DMZ im Bereich xxx.xxx.3.xxx. Nun will ich einen zusätzlichen Server in die DMZ bauen und ihn zum Mitglied unserer Domäne machen. Ich schaffe es aber nicht ihn zum Mitglied der Domäne zu machen. Angeblich wird der Domänencontroller nicht gefunden. Die Abfrage für den SRV-Eintrag _ldap._tcp.dc._msdc identifiziert unsere beiden Domänencontroller korrekt. Ist es notwendig auf dem DNS Server eine weitere Netzwerkverbindung mit einer IP aus der DMZ zu konfigurieren und in der DNS Konfiguration einzustellen das er auch auf DNS Anfragen aus dem Netzwerksegment der DMZ lauschen soll? - Wäre das nicht irgendwie am Zweck der DMZ vorbei? Oder hab ich hier ein grundlegendes Verständnisproblem? Gruß, Gerrit Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 DMZ, das klingt nach Firewall. Du hast auf der auch alle entsprechenden Ports für eine Domänenmitgliedschaft offen? (das sind da einige :eek: ). Ein Domänenrechner in der DMZ ist generell nicht empfohlen, der gehört da eigentlich nicht hin. Warum muss der denn Mitglied der Domäne sein? grizzly999 Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 Firewall stimmt. Zwischen dem internen Port und der DMZ läuft derzeit ein "ANY" Filter der Traffic auf allen Ports zuläßt. Ich glaub den Server zum Mitglied der Domäne zu machen ist in diesem Fall einfach nur der Stein über den ich gestolpert bin. - Tja..warum sollte der Server nicht Mitglied der Domäne sein? -- Scheint aber in der DMZ ein generelles Problem mit dem DNS zu geben... Gruß, Gerrit Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Firewall stimmt. Zwischen dem internen Port und der DMZ läuft derzeit ein "ANY" Filter der Traffic auf allen Ports zuläßt. Und die benötigten Ports vom DMZ-rechner nach innen?? (Wie gesagt, sind einige) Scheint aber in der DMZ ein generelles Problem mit dem DNS zu geben... Wie kommst du darauf? Besser gefragt, wie sieht denn die Namensauflösung für den7die DMZ-Rechner überhaupt aus? Ohne Infos keine Auskunft :p grizzly999 Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 Und die benötigten Ports vom DMZ-rechner nach innen?? (Wie gesagt, sind einige) Der ANY-Filter ist für beide Richtungen konfiguriert. - Hatte ich schlecht ausgedrückt... :rolleyes: ..., wie sieht denn die Namensauflösung für den7die DMZ-Rechner überhaupt aus? Die Rechner in der DMZ (xxx.xxx.3.xxx) haben den DNS-Server im Netz xxx.xxx.1.xxx als bevorzugten DNS-Server eingestellt. Keinen Alternativen. Über eine nslookup-Abfrage bekomme ich den auch richtig ausgewiesen. Brauchst Du mehr Infos? Ich habe gerade mal auf einem anderen 2k3-Server in der DMZ versucht Server im xxx.xxx.1.-Netz über deren Namen zu pingen. - Das funktioniert einwandfrei. Die Konfigurationen sind identisch... zumindest auf den ersten Blick... - Steh grad etwas auf dem Schlauch. Gruß, Gerrit Zitieren Link zu diesem Kommentar
kobalt 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Hast Du die Routen mal mit tracert überprüft und verglichen? Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 Hast Du die Routen mal mit tracert überprüft und verglichen? Hallo Kobalt, die Routen stimmen mit denen der bestehen Server der DMZ überein. Kann halt von dem neuen Server nur auf die IP tracen da ja die Namensauflösung nicht funktioniert. Gruß, Gerrit Zitieren Link zu diesem Kommentar
kobalt 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Häng den Rechner doch mal ins interne Netz und versuch, ihn in die Domäne aufzunehmen. Wenn das geht, stell ihn wieder in die DMZ und teste die Namensauflösung erneut. Zitieren Link zu diesem Kommentar
Gerry1420 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 Das wollte ich eigentlich vermeiden um eine Lösung dafür zu finden warum der Domänenbeitritt nicht aus der DMZ möglich ist. Um mit dem Server nun aber endlich weiter zu kommen habe ich ihn aus der DMZ genommen und ihn ins Netz xxx.xxx.1.xxx gehangen, bin dort der Domäne beigetreten und hab ihn wieder ins xxx.xxx.3.xxx-Netz gepackt. - Nun kann ich ohne Probleme die Namensauflösung ins xxx.xxx.1.xxx-Netz durchführen. Stellt mich zwar nicht zufrieden, aber ich kann weiter machen. DANKE Euch für Eure Beiträge. Vielleicht hat ja trotzdem noch jemand eine Idee woran´s liegen könnte oder was ich testen kann. Gruß, Gerrit Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.