Reppy 10 Geschrieben 27. Oktober 2010 Melden Teilen Geschrieben 27. Oktober 2010 Hallo zusammen, ich habe das Problem, dass die Namensauflösung bei den Client-Browsern nicht zuverlässig funktioniert. Manchmal klappt der Aufruf über über den Domänennamen und manchmal nur über die IP-Adresse. Wenn ich dann nslookup bemühe, funktioniert die Namensauflösung ohne Probleme. Trotzdem kriegt der Browser es nicht hin. Auch ein "ipconfig /flushdns" hilft nicht. Nach einiger Zeit kann es dann sein, dass es wie von Geisterhand wieder geht, ohne dass ich etwas gemacht hätte. Kennt einer von euch das Problem? Ich habe schon die Suchfunktion hier bemüht, konnte aber keinen passenden Thread finden. Zum Hintergrund: Wir haben im LAN einen Server (Win 2k3 SBS) für die Rollen DC, DHCP, DNS, Fileserver und Intranetserver (companyweb). Die Clients laufen unter XP Pro SP3. Alles auf aktuellem Stand. Wenn das Problem auftritt, nützt auch die Benutzung von IE 8 statt Firefox nichts. Bisher hat uns das nicht wirklich gejuckt, weil wir das Companyweb nicht so intensiv nutzen. Nun haben wir aber einen weiteren Standort per VPN angebunden. Auf einem Server am anderen Standort laufen Anwendungen mit Web-Interface, die wir häufiger brauchen. Dadurch fällt das Problem jetzt erst richtig auf. Der andere Standort hat ebenfalls einen 2k3-DC. Die beiden Domänen sind voneinander unabhängig (Kopplung geht ja bei SBS nicht), aber einheitlich benannt: standort1.firma.local standort2.firma.local Zusätzlich gibt es am anderen Standort einen Linux-Server, auf dem die Anwendungen laufen. Da ich die Domänenweiterleitung in Verdacht hatte, habe ich einfach manuell eine Forward-Zone eingetragen (standort2.firma.local). Zu der habe ich die IP-Adressen der beiden Server eingerichtet: server1.standort2.firma.local -> 10.0.0.1 server2.standort2.firma.local -> 10.0.0.2 Außerdem habe ich einen Alias eingerichtet: http://www.standort2.firma.local -> server2.standort2.firma.local Zusätzlich habe ich auch die passende Reverse-Lookup-Zone eingerichtet (als primäre Zone, die Pointer habe ich manuell gesetzt). Wie geschrieben: Mal funktioniert's und mal nicht. Fällt einem von euch etwas dazu ein? Danke im Voraus für eure Hilfe Reppy Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 27. Oktober 2010 Melden Teilen Geschrieben 27. Oktober 2010 Die beiden Domänen sind voneinander unabhängig (Kopplung geht ja bei SBS nicht), Wirklich zwei Domänen? Also zwei verschiedene Gesamtstrukturen mit jeweils eigenem Schema und unterschiedlichen Enterprise-Administratoren? Oder meinst Du Standorte (Sites) in der gleichen Domäne? Mich würde es erstaunen, wenn Du mit dem SBS 2003 eine Subdomäne (standort1.firma.local) hast einrichten können. Ihr meldet Euch wahrscheinlich als firma\benutzer an, nicht als standort1\benutzer, oder? Zitieren Link zu diesem Kommentar
Reppy 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Wirklich zwei Domänen? Also zwei verschiedene Gesamtstrukturen mit jeweils eigenem Schema und unterschiedlichen Enterprise-Administratoren? Oder meinst Du Standorte (Sites) in der gleichen Domäne? Ja, das sind wirklich zwei unabhängige Domänen mit jeweils eigenen Schemas und Domänenadministratoren, keine Sites. Meines Wissens kann man bei einer SBS-Domäne auch keinen zweiten DC einbinden. Insofern könnten wir nur das Wagnis eingehen, einen Standort ohne Server zu betreiben. Aber das wollen wir auch nicht. Es gibt auch schon einen Plan für die Zukunft: Wir werden die SBS-Lizenzen gegen normale Serverlizenzen tauschen und dabei auch gleich zu 2008 R2 wechseln. Dann werden wir auch genau das tun: Wir werden eine Domäne mit zwei Sites betreiben. Aber das will gut vorbereitet werden, weil wir die Domäne komplett neu aufsetzen und alle Clients und vor allem das Berechtigungskonzept auf dem Fileserver migrieren müssen. Das dauert also noch etwas. Wir hoffen, dass sich das DNS-Problem dann auch erledigt hat, weil dann die beiden Server miteinander replizieren können. Im Moment trauen die sich ja gegenseitig nicht. Aber bis das mal so weit ist nervt das DNS-Problem ganz schön. Die Sache mit den SBSen ist eine Altlast von einem Vorgänger und mag damals vielleicht eine gute Idee gewesen sein. Aber es wurde nie richtig genutzt, weil der Exchange gar nicht installiert wurde. Heute sind wir schlauer. Mich würde es erstaunen, wenn Du mit dem SBS 2003 eine Subdomäne (standort1.firma.local) hast einrichten können. Ihr meldet Euch wahrscheinlich als firma\benutzer an, nicht als standort1\benutzer, oder? Die übergeordnete Domäne "firma.local" gibt es nicht. Insofern wird die Domäne "standort[1/2].firma.local" als Root-Domäne betrachtet. Die Anmeldung läuft über den Prä-Windows-2000-Namen der Domäne. Das sieht dann ungefähr so aus: "firma-standort\benutzer" Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Meines Wissens kann man bei einer SBS-Domäne auch keinen zweiten DC einbinden. Das ist nicht richtig. Du kannst maximal 75 Nodes einbinden, darunter auch weitere Domänencontroller. Diese Frage wurde hier im Board im Zusammenhang mit dem SBS 2003 bereits geklärt und ist auch so dokumentiert: Debunking Myths About Additional Domain Controllers In SBS Domains - The Official SBS Blog - Site Home - TechNet Blogs Insofern wird die Domäne "standort[1/2].firma.local" als Root-Domäne betrachtet. Der SBS ist definitiv gebaut, um DC einer Stammdomäne am Stamm des Namensraums zu sein. Sonst gibts Probleme - aber das siehts Du selbst. Hinweise und Stichworte zu Deinen Auflösungsproblemen findest Du u.a.: Gesamtstrukturübergreifendes Routing von Namensuffixen Konfigurieren von DNS-Clienteinstellungen und mag damals vielleicht eine gute Idee gewesen sein. War es schon damals bestimmt nicht. Zitieren Link zu diesem Kommentar
Reppy 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Der Eintrag zur Konfiguration hat mich auf die grandiose Idee gebracht, den Server des anderen Standorts als zweiten DNS in der Liste einzutragen. Wieso bin ich da nicht schon früher drauf gekommen? Mal schauen, wie es sich jetzt verhält. Ich beobachte das mal ein paar Tage und melde mich dann mal, ob's geholfen hat. Danke und viele Grüße Reppy Zitieren Link zu diesem Kommentar
Reppy 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Ich beiß noch in die Tischkante! :cry: Das hat nicht geholfen. Ich habe aber noch die Firewall in der DNS-Liste, damit die Benutzer auch surfen können, wenn ich den Server mal in den Update-Reboot schicken muss. Die DNS-Liste, die übrigens natürlich per DHCP verteilt wird, sieht folgendermaßen aus: Lokaler Server Server des anderen Standorts (neu) Firewall Plötzlich meldete meine Kollegin, dass der Fehler wieder aufgetreten ist. Ich habe es getestet und auch bei mir schlug die Verbindung fehl. Auffällig: Immer wenn der Fehler auftritt ist die Antwortzeit sehr kurz. Nun habe ich in der Firewall auch noch einen DNS-Forward eingetragen. Nachdem ich das getan habe, habe ich den Link getestet, es ging aber immer noch nicht. Kurz "ipconfig /flushdns" eingegeben und danach ging's. Jetzt kommt noch ein Witz: Ich habe zwei Aliase. "www" verweist auf die meisten Dienste auf dem Server, zusätzlich gibt es den Alias "wiki", der auf ein internes Wiki verweist. Bei meinem Test (vor dem FlushDNS-Befehl) ging nun der Zugriff aufs Wiki, auf den WWW aber nicht. Das kann jetzt aber auch daran gelegen haben, dass ich die beiden Regeln auf der Firewall hinzugefügt habe. Ich hatte vorher nämlich nur mit WWW getestet und nicht mit Wiki. Ein "nochmal versuchen" auf WWW hat nämlich auch nichts gebracht, obwohl Wiki ging. Ich musste den Link komplett neu aufrufen, damit es funktioniert. Ich werde berichten, ob es das jetzt war. Gespannte Grüße :suspect: Reppy Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Ich habe die Verknüpfungen zu den Dokumenten eigentlich nicht in der Absicht gepostet, Ideen zu liefern, wie in dieser AD/DNS-Topologie mittels Workarounds ein weitgehend problemfreier Betrieb mit funktionierender interner Namensauflösung erreicht werden kann. Ich wollte vielmehr einen Anstoss und Informationen liefern, sich mit den grundlegenden Architektur von Windows-Domänen/AD/DNS zu beschäftigen, die bestehende Topologie zu überdenken und sie neu so zu bauen, wie sie gebaut sein sollte, nämlich als 1 Gesamtstruktur/1 Domäne mit zwei Standorten. Alles andere ist Basteln. Zitieren Link zu diesem Kommentar
Reppy 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Ich habe die Verknüpfungen zu den Dokumenten eigentlich nicht in der Absicht gepostet, Ideen zu liefern, wie in dieser AD/DNS-Topologie mittels Workarounds ein weitgehend problemfreier Betrieb mit funktionierender interner Namensauflösung erreicht werden kann. Ich wollte vielmehr einen Anstoss und Informationen liefern, sich mit den grundlegenden Architektur von Windows-Domänen/AD/DNS zu beschäftigen, die bestehende Topologie zu überdenken und sie neu so zu bauen, wie sie gebaut sein sollte, nämlich als 1 Gesamtstruktur/1 Domäne mit zwei Standorten. Alles andere ist Basteln. Es gibt auch schon einen Plan für die Zukunft: Wir werden die SBS-Lizenzen gegen normale Serverlizenzen tauschen und dabei auch gleich zu 2008 R2 wechseln. Dann werden wir auch genau das tun: Wir werden eine Domäne mit zwei Sites betreiben. Aber das will gut vorbereitet werden, weil wir die Domäne komplett neu aufsetzen und alle Clients und vor allem das Berechtigungskonzept auf dem Fileserver migrieren müssen. Das dauert also noch etwas. Wir hoffen, dass sich das DNS-Problem dann auch erledigt hat, weil dann die beiden Server miteinander replizieren können. Im Moment trauen die sich ja gegenseitig nicht. Aber bis das mal so weit ist nervt das DNS-Problem ganz schön. :confused: Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 29. Oktober 2010 Melden Teilen Geschrieben 29. Oktober 2010 Genau. Da würde ich die Energie reinstecken. Sonst führt das Basteln womöglich halbwegs zum Ziel und könnte jemanden veranlassen, den geplanten Umbau für unnötig zu erklären. Zitieren Link zu diesem Kommentar
Reppy 10 Geschrieben 29. Oktober 2010 Autor Melden Teilen Geschrieben 29. Oktober 2010 Sonst führt das Basteln womöglich halbwegs zum Ziel und könnte jemanden veranlassen, den geplanten Umbau für unnötig zu erklären. Keine Bange, die Einführung von 2008 R2 ist beschlossene Sache. Wir wollen DFS-R zwischen den Standorten einsetzen. Da müssen wir eh mindestens auf 2003 R2 setzen. Und da wir auch an die Domäne ranmüssen, haben wir gesagt, dass wir gleich den großen Schritt machen. Aber das will halt gut vorbereitet sein und ich bin nur nebenbei Admin. Mein Verdacht geht übrigens jetzt dahin, dass die Probleme wahrscheinlich daher kommen, dass ich die Firewall als Reserve-DNS gesetzt habe. Die kennt natürlich die DNS-Einträge im Server nicht. Kann es sein, dass der Reserve-DNS auch bemüht wird, obwohl der primäre DNS läuft? Viele Grüße und schonmal ein schönes Wochenende Reppy Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 29. Oktober 2010 Melden Teilen Geschrieben 29. Oktober 2010 Nur wenn der primäre DNS-Server nicht verfügbar ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.