Clients in Domäne heben nicht möglich

[schuett-sport 10]

Hallo Board,

wir haben folgendes Problem:

Wir haben eine Testumgebung auf einem ESXi laufen.

 

In einem Netz 192.168.11.0/24 ist ein SBS2008 der als AD DC fungieren soll.

 

In einem anderen Netz 192.168.31.0/24 sind die Clients (Win7 und XP).

 

Die beiden Netze werden von einem Vyatta Router miteinander verbunden.

 

Jetzt ist das Problem, dass es nicht gelingt, die Clients in die Domäne zu heben.

Ich lasse per DHCP den primären DNS des Routers und als alternativen DNS die IP des SBS eintragen. Trotzdem lassen sich die Clients nicht in die Domäne heben :suspect:

Diese Konfiguration funktioniert auch dann nicht, wenn der Client und der Server im gleichen Netz sind. Erst, wenn man als primären DNS die IP des SBS einträgt, kann der Client in die Domäne. Aber auch erst dann, wenn die beiden im gleichen Netz sind. Das soll aber nicht Sinn der Übung sein.

Bei einem Server 2003 funktioniert die oben genannte Konfiguration ohne Probleme - Ich kann einen bel. Client von dem anderen Netz in die Domäne heben :confused:

 

Es muss also am SBS2008 hängen.

Hat jemand einen Tip, wie man die Clients durch den Router in die 2008 Domäne bekommt?

[IThome 10]

Domänenmitglieder haben NIEMALS einen DNS-Server eingetragen, dem die Domänen SRV-Resource Records nicht bekannt sind. Der DNS des Routers hat bei keinem Domänenknoten etwas zu suchen, weder bei Clients, noch bei Servern. Wie Du ja selbst schon festgestellt hast, funktioniert es, wenn der SBS-DNS-Server eingetragen ist. Dass es vom entfernten Subnetz nicht funktioniert, ist entweder ein Routingproblem oder ein Firewallproblem des SBS-Servers ...

[schuett-sport 10]

Erstmal danke für Deine schnelle Antwort.

 

Domänenmitglieder haben NIEMALS einen DNS-Server eingetragen, dem die Domänen SRV-Resource Records nicht bekannt sind. Der DNS des Routers hat bei keinem Domänenknoten etwas zu suchen, weder bei Clients, noch bei Servern.

 

Ich will nicht zickig klingen, aber warum klappt das denn dann bei einem Server 2003 ohne Murren? :suspect:

 

 

Es kann aber doch nicht sein, dass eine DNS Anfrage immer erst an den AD DC geschickt wird. Das würde doch viel mehr Traffic als nötig verursachen.(Ein Client geht über den Router an den DC um dann mit seiner Anfrage an den Router zurückgeleitet zu werden?) :confused:

Klar, die Datenpakete sind nicht so riesig, aber Kleinvieh macht ja bekanntlich auch Mist.

 

Aber selbst, wenn das nur so geht, so müsste es doch auch durch den Router hindurch funktionieren. Bei dem sind vorerst weder Firewall- noch Nat-Regeln hinterlegt.

Ich hatte auch schon testweise die Firewall des SBS2008 abgeschaltet. Selbst dann funktionierte es nicht.

[Necron 71]

Es kann aber doch nicht sein, dass eine DNS Anfrage immer erst an den AD DC geschickt wird. Das würde doch viel mehr Traffic als nötig verursachen.(Ein Client geht über den Router an den DC um dann mit seiner Anfrage an den Router zurückgeleitet zu werden?) :confused:

Wieso sollte dies mehr Traffic bedeuten? Für Domains die seitens des SBS nicht aufgelöst werden können richtest du den Router als Forwarder ein. Der SBS wird DNS-Abfragen, die er nicht auflösen kann, nach der erfolgreichen Auflösung durch den Router, der diese wieder an den nächsten DNS-Server weiterleitet, zwischenspeichern und kann den Clients dann direkt das Ergebnis liefern.

 

Ich bezweifel es stark, dass diese Konfiguration unter Windows Server 2003 ohne weiteres funktioniert haben soll.

[IThome 10]

Kannst Du den SBS denn aus dem anderen Netz via Adresse anpingen (wenn er die Firewall nicht aktiviert hat) ?

Ich denke nicht, dass Du ausgerechnet mit DNS-Traffic ein Problem bekommen wirst. Du bekommst aber ganz sicher Probleme im Domänenbetrieb, da der zuerst angefragte DNS-Server (Router) eine negative Antwort gibt, wenn nach domänenrelevanten Einträgen gefragt wird. Der Client fragt nicht etwa den zweiten DNS-Server, da er ja schon eine Antwort bekommen, zwar eine negative, aber eine Antwort. Ebensowenig setzt man einen Router als 2. DNS-Server, den der Client nur abfragen würde, wenn der erste Server nicht reagiert. Fragt er also den 2. Server ab, schwenkt er nicht sofort wieder auf den ersten DNS-Server zurück (das dauert eine Weile). Selbst dann nicht, wenn der erste wieder verfügbar wäre. Und in dieser Zeit funktioniert die Namensauflösung nach Domäneneinträgen eben nicht ...

[schuett-sport 10]

@ Necron: Das funktioniert ohne Weiteres! Ich habe es gerade eben nochmal getestet. Nur halt nicht unter 2008.

 

Kannst Du den SBS denn aus dem anderen Netz via Adresse anpingen (wenn er die Firewall nicht aktiviert hat) ?

Ich kann ihn sogar bei aktivierter Firewall anpingen. :)

 

 

Ebensowenig setzt man einen Router als 2. DNS-Server, den der Client nur abfragen würde, wenn der erste Server nicht reagiert. Fragt er also den 2. Server ab, schwenkt er nicht sofort wieder auf den ersten DNS-Server zurück (das dauert eine Weile).

Das sollte auch eher die "Schlechtwetteralternative" sein, falls der DC - aus welchem Grund auch immer - mal ausfallen sollte.

 

 

Der Client fragt nicht etwa den zweiten DNS-Server, da er ja schon eine Antwort bekommen, zwar eine negative, aber eine Antwort.

Da hatte ich wohl einen Denkfehler. Ich dachte, der altenative DNS würde dann gefragt, wenn der erste mitteilt, dass er die Anfrage nicht beantworten könne. Wieder was gelernt :)

 

Habe es gerade mal getestet. Wenn ich jetzt den SBS als primären DNS verteilen lasse, geht es auf einmal :D Auch durch den Router hindurch.

Danke für die Antworten! :thumb1:

[Necron 71]

@ Necron: Das funktioniert ohne Weiteres! Ich habe es gerade eben nochmal getestet. Nur halt nicht unter 2008.

Also Router als 1. DNS und der DC als 2. oder umgekehrt?

 

Super wenn es jetzt mit dem SBS 2008 funktioniert!:)