Suchliste für DNS-Suffix wird nicht von Gruppenrichtlinie angewendet

[TiTux 10]

Hallo,

 

wir haben hier zwei Domänen, eine SBS 2003 Domäne und eine Windows 2008 Domäne.

Die beiden sind netzwerktechnisch über einen Router verbunden und können sich gegenseitig pingen.

 

Ich muss nun von der Windows 2008 Domäne auf den SBS 2003 Server zugreifen und das über den voll qualifizierten Namen.

Wir benutzen hier DHCP. Dort habe ich leider keine Option gefunden, um das DNS-Suffix der 2003 Domäne mit anzugeben.

Dies soll ja über die Gruppenrichtlinien funktionieren, also bin ich zum folgenden Pfad gegangen:

 

Computerkonfiguration > Richtlinien > Administrative Vorlagen > Netzwerk > DNS-Client: Suchliste für DNS-Suffix

 

Dort habe ich nun wie in der Erklärung beschrieben meine beiden DNS-Suffixe kommagetrennt eingetragen, also z.B.

 

dnsname1.local,dnsname2.local

 

Anschließend auf dem Server ein "gpupdate /force" ausgeführt, damit die Änderungen bekannt sind.

Auf dem Client (Windows XP mit SP3 inkl. dem Patch, dass er mit den Gruppenrichtlinien von 2008 umgehen kann),

sehe ich bei einem "ipconfig /all" in der DNS-Suffixsuchliste immer nur meine primäre DNS-Suffix, nie den zusätzlichen,

aus der anderen Domäne.

 

Ein gpresult bestätigt mir aber, dass die GPO erfolgreich angewandt wurde, denn über diese Richtlinie verteile ich auch das Logo-Script

und das wird einwandfrei angewendet.

Den Client habe ich sicherheitshalber noch einmal durchgestartet, aber ohne Erfolg.

 

Hat noch jemand einen Tipp für mich?

 

Gruß

TiTux

[olc 18]

Hi,

 

ich habe im Hinterkopf, daß die per GPO vergebenen Einträge nicht in "ipconfig /all" angezeigt werden. Von daher kann es sein, daß diese greifen und nur nicht angezeigt werden.

 

Mach doch einmal einen ping oder ein nslookup auf einen Client einer DNS-Domäne, die Du oben zusätzlich verteilst - wird der Client gefunden, d.h. greifen die Suffixe?

 

Viele Grüße

olc

[NilsK 2.930]

Moin,

 

ich habe im Hinterkopf, daß die per GPO vergebenen Einträge nicht in "ipconfig /all" angezeigt werden.

 

das ist auch so. Allgemein sollte man die DNS-Konfigurationsoptionen niemals über GPOs steuern.

 

Im Falle der DNS-Suffizes geht es übrigens noch weiter. Intern scheint Windows mehrere Stellen zu haben, an denen es nachsieht. ipconfig /all zeigt mehrere davon nicht an, nur die aus der Netzwerkkonfiguration. Daher sollte man sich auf die beschränken, sonst wird es schwierig mit dem Sorgenschießen.

 

Gruß, Nils

[olc 18]

Guten Abend,

 

das ist auch so.

 

Na ein Glück, dann habe ich ja zur Abwechslung auch mal etwas richtiges gesagt. ;) :p

 

Allgemein sollte man die DNS-Konfigurationsoptionen niemals über GPOs steuern.

 

Ist sicherlich nicht in jedem Fall uneingeschränkt empfehlenswert, aber so weit es "niemals über GPOs zu steuern" würde ich nicht gehen. Kommt wie immer auf die Umgebung oder die konkrete Anforderung an.

 

Im Falle der DNS-Suffizes geht es übrigens noch weiter. Intern scheint Windows mehrere Stellen zu haben, an denen es nachsieht. ipconfig /all zeigt mehrere davon nicht an, nur die aus der Netzwerkkonfiguration. Daher sollte man sich auf die beschränken, sonst wird es schwierig mit dem Sorgenschießen.

 

Das betrifft nicht nur die DNS-Suffixe, die sind nur ein Teil vom großen Ganzen. Letztendlich auch nachvollziehbar, schließlich sind DHCP-Client Optionen, feste Netzwerkkarteneinstellungen, GPO-Settings etc. unterschiedlich im System verankert. Auch DNS-Suffixe haben im Grunde nur ergänzenden Charakter zu den Kerneinstellungen für Netzwerkkarten.

 

Ärgerlich ist meines Erachtens nur, daß IPCONFIG wie von Dir auch angemerkt nicht alle Einstellungen ausliest.

 

Interessant wäre in dem Zusammenhang, ob die Daten per WMI direkt geliefert werden, das habe ich noch nie getestet. Zum Beispiel über den Namespace "Win32_NetworkAdapterConfiguration".

 

Viele Grüße

olc

[NorbertFe 2.027]

Guten Abend,

 

 

 

Na ein Glück, dann habe ich ja zur Abwechslung auch mal etwas richtiges gesagt. ;) :p

 

Grins. Ja, und da war noch irgendwas mit der maximalen DNS Suffix Anzahl... ;)

 

 

Ist sicherlich nicht in jedem Fall uneingeschränkt empfehlenswert, aber so weit es "niemals über GPOs zu steuern" würde ich nicht gehen. Kommt wie immer auf die Umgebung oder die konkrete Anforderung an.

 

Ja, wenn die Anforderungen lauten möglichst fehlerträchtig und unflexibel zu konfigurieren, kann mans auch per GPO erledigen. ;)

Off-Topic:

Ich ergänze den Satz: Wenn man weiß was man tut, dann kann man das natürlich tun ;)

 

 

Bye

Norbert

[TiTux 10]

Ich hatte mich nicht nur auf die ifconfig /all Ausgabe verlassen und es zwischendurch

immer wieder mal mit der Auflösung probiert, hatte aber nicht funktioniert,

das Suffix wird also nicht übergeben.

 

Die Geschichte mit den beiden Domänen ist nur eine Übergangslösung von ein paar Monaten,

aber in der Zeit sollte es eben funktionieren.

 

Habe ich jetzt noch eine andere Möglichkeit, dass Suffix zu übergeben?

Mir fällt nämlich keine mehr ein.

 

Gruß

TiTux

[NorbertFe 2.027]

Ich hatte mich nicht nur auf die ifconfig /all Ausgabe verlassen und es zwischendurch

immer wieder mal mit der Auflösung probiert, hatte aber nicht funktioniert,

das Suffix wird also nicht übergeben.

 

Das kann man ja leicht rausfinden, indem man einfach mal an die richtige Stelle in der Registry auf einem entsprechenden Client nachschaut. Wenns dort dann nicht steht, kommts nicht an ;)

 

Bye

Norbert

[TiTux 10]

Servus Norbert,

 

ich habe in der Registry nachgesehen, unter:

HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Tcpip > Parameters

 

Unter dem Eintrag "SearchList" steht leider nichts drin. Wenn ich meine beiden

Suffixe dort händisch eintrage, klappt die Auflösung auch.

 

Evtl. könnte ich jetzt aber den Reg Key exportieren und per GPO importieren?!

Das sollte ja dann funktionieren, auch wenn ich das Thema Netzwerkeinstellungen nicht unbedingt über GPOs managen will, der Übersichtlichkeit halber.

[NorbertFe 2.027]

ich habe in der Registry nachgesehen, unter:

HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Tcpip > Parameters

 

Vielleicht schaust du ja eher hier mal nach:

"Software\Policies\Microsoft\System\DNSClient" ;) Wenn da auch nichts drin steht, kannst du dir sicher sein, dass deine GPOs nicht übernommen werden. Damit wäre dann auch deine zweite Frage beantwortet.

 

 

Bye

Norbert

[TiTux 10]

Hmmm,

 

bei mir ist der Key nicht vorhanden, ich komme nur bis:

 

Software > Policies > Microsoft

 

Dort gibt es schon keinen "System" Ordner mehr.

 

Aber mit meinem anderen Pfad sollte es ja auch funktionieren, denk ich mal.

[NorbertFe 2.027]

Grmpf ist das so schwer zu verstehen, dass deine Policies nicht ankommen ohne DNS? Also kannst du auch keinen Registry Key per GPO verteilen. ;)

Und wenn sie ankämen, dann bräuchtest du keinen Registry Key verteilen, denn dann würden die DNS Suffixe im erwähnten Zweig bereits stehen.

 

 

Bye

Norbert

[TiTux 10]

Also evtl. steh ich ja irgendwie auf dem Schlauch,

aber was meint du mit

ohne DNS

?

 

In der 2008er Domäne funktioniert mein DNS doch, auch das verteilen

von GPOs.

[olc 18]

N'Abend,

 

Grins. Ja, und da war noch irgendwas mit der maximalen DNS Suffix Anzahl... ;)

 

Je nach eingesetztem Betriebssystem ist das nicht mehr so relevant - die "DNS devolution" löst das Thema meist recht gut.

 

bei mir ist der Key nicht vorhanden, ich komme nur bis:

Software > Policies > Microsoft

Dort gibt es schon keinen "System" Ordner mehr.

 

Dann wird die Einstellung entweder wieder überschrieben oder die Policies sind nicht korrekt am Client angekommen.

 

Ich würde in dem Fall zwei Dinge prüfen:

1. Sind die oben von Norbert genannten Schlüssel vorhanden, kurz / direkt nachdem Du ein GPUPDATE /FORCE durchführst? Überprüfe direkt nach dem GPUPDATE /FORCE einmal die genannten Schlüssel.
   
2. Laß ein ProcMon Trace im Boot-Logging Modus mitlaufen und filtere danach den Export auf den Policy Zweig: Werden die oben genannten Schlüssel eventuell geschrieben und dann wieder gelöscht? Falls ja, von welchen Prozessen?
   
3. Du hast im HKEY_LOCAL_MACHINE Registry Zweig geschaut, nicht im HKEY_CURRENT_USER, korrekt?
   

 

Aber mit meinem anderen Pfad sollte es ja auch funktionieren, denk ich mal.

 

Der von Norbert genannte Pfad ist der Registry Zweig, in dem im Normalfall standardmäßig Administrative Templates Policy Einstellungen landen. Wenn dort nichts drin steht, sind die Einstellungen nicht von der Policy geschrieben worden oder wurden danach wieder gelöscht. Daher also nicht "egal" ;) .

 

Grmpf ist das so schwer zu verstehen, dass deine Policies nicht ankommen ohne DNS? Also kannst du auch keinen Registry Key per GPO verteilen. ;)

Und wenn sie ankämen, dann bräuchtest du keinen Registry Key verteilen, denn dann würden die DNS Suffixe im erwähnten Zweig bereits stehen.

 

Oben sagte der TO, daß ein GPRESULT die Einstellungen anzeigt:

Ein gpresult bestätigt mir aber, dass die GPO erfolgreich angewandt wurde, denn über diese Richtlinie verteile ich auch das Logo-Script

und das wird einwandfrei angewendet.

 

Prüfe das ganze bitte noch einmal per GPMC Group Policy Results HTML Report - sind die Werte dort korrekt im RSOP eingetragen?

 

Viele Grüße

olc

[NorbertFe 2.027]

Oben sagte der TO, daß ein GPRESULT die Einstellungen anzeigt:

 

OK ich korrigiere mich: Wenn die von mir genannten Regstry-Keys fehlen, dann kommen die Policies eben nicht an. Egal ob der DNS beim TO funktioniert oder nicht.

 

 

Bye

Norbert

[olc 18]

Hi Norbert,

 

nein, das muß nicht sein. Wie in meinem letzten Beitrag oben angemerkt, können Sie auch unter Umständen nach dem Anwenden wieder von einem "beliebigen" Prozess gelöscht werden. Daher der Vorschlag des ProcMon Traces - damit könnte man das zumindest ausschließen.

 

Grundsätzlich gebe ich Dir aber Recht - am ehesten ist anzunehmen, daß die Schlüssel überhaupt nicht geschrieben werden. Vielleicht bringt also schon der oben erwähnte GPMC Group Policy Results Export etwas Licht ins Dunkel.

 

Viele Grüße

olc