willy-goergen 0 Geschrieben 17. August 2015 Melden Teilen Geschrieben 17. August 2015 (bearbeitet) Hallo, ich hatte mich heute mit einem kleineren Problem beschäftigt, das schon sehr lange in der Firma existiert. Problem ist die externe Namensauflösung, die sehr schleppend vor sich ging. Intern funktioniert die Namensauflösung tadellos. Bei den Arbeiten heute habe ich mich sehr nach diesem Artikel hier gerichtet: https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Ich habe das Problem denke ich lösen können. 1. DNS, Primärer DC, Server 2008 R2, AD-integriert, IP 192.168.1.103 - Bevorzugter DNS 192.168.1.100, Alternativer DNS 192.168.1.103 - Weiterleitung auf externe DNS-Server, falls Namen nicht aufgelöst werden können 2. DNS, Backup DC, Server 2008 R2, AD-integriert, IP 192.168.1.100 - Bevorzugter DNS 192.168.1.103, Alternativer DNS 192.168.1.100 - Weiterleitung auf den 1. DNS, falls Namen nicht aufgelöst werden können, keine externe Weiterleitung Das Problem war wie gesagt, dass das Surfen im Internet etwas träge war. Außerdem konnte nslookup externe Adressen zuerst gar nicht auflösen. Nach dem Einrichten einer Weiterleitung nach extern danach oftmals nur nach einem Timeout. Ich habe auf dem ersten AD-DNS die Weiterleitung zum zweiten AD-DNS gelöscht. Seitdem funktioniert die externe Namenauflösung tadellos. Allerdings frage ich mich, ob meine Lösung auch so ihre Richtigkeit hat und ob ich mir durch das Löschen der Weiterleitung auf dem 1. DNS nicht ein Problem einhandle. Auf Google konnte ich relativ wenig zur Einrichtung von zwei DNS-Servern finden. Vielleicht könnt ihr mir helfen. Grüße Willy bearbeitet 17. August 2015 von willy-goergen Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 17. August 2015 Melden Teilen Geschrieben 17. August 2015 Weiterleitung auf den 1. DNS, falls Namen nicht aufgelöst werden können, keine externe Weiterleitung Das ist Unsinn. Die Replizieren ihre Datenbank über das AD. Wenn der 1. kein Ergebnis bringt, wird automatisch der Andere gefragt. Trage in der Weiterleitung einen externen DNS oder den Internet-Router als DNS-Server ein (wenn der einen Forwarder hat). Die Auflösung über Stammhinweise kann man machen, wird aber nicht so gern gesehen. Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 17. August 2015 Autor Melden Teilen Geschrieben 17. August 2015 (bearbeitet) Das ist Unsinn. Die Replizieren ihre Datenbank über das AD. Wenn der 1. kein Ergebnis bringt, wird automatisch der Andere gefragt. Trage in der Weiterleitung einen externen DNS oder den Internet-Router als DNS-Server ein (wenn der einen Forwarder hat). Die Auflösung über Stammhinweise kann man machen, wird aber nicht so gern gesehen. Du meinst, ich sollte die interne Weiterleitung auf dem zweiten DNS auch herausnehmen und stattdessen wie der erste DNS nur auf externe weiterleiten? Im Router selbst kann ich leider selbst keinen externen DNS-Server eintragen. Die sucht er sich automatisch. Und irgendwie habe ich das Gefühl, dass das nicht gerade die schnellsten externen DNS-Server sind, die er sich da gesucht hat. Ein "kleiner" Geschwindigkeitszuwachs ist zumindest da. Lasse seit heute Vormittag, als ich damit angefangen habe, den DNSQuerySniffer mitlaufen. Die Anwortzeiten haben sich massiv verbessert. Vorher lagen sie alle meistens irgendwo zwischen 1000ms - 9000ms. bearbeitet 17. August 2015 von willy-goergen Zitieren Link zu diesem Kommentar
Beste Lösung zahni 554 Geschrieben 17. August 2015 Beste Lösung Melden Teilen Geschrieben 17. August 2015 (bearbeitet) In den Netzwerkeinstellungen nur interne DNS-Server nehmen, auf allen internen DNS-Servern eine Weiterleitung auf einen oder mehrere externe DNS-Server eintragen (z.B. 8.8.8.8) . Nicht auf interne Server weiterleiten, es sei denn, die gehören zu einer anderen internen Domäne und es soll so sein. Das kann u.U. zu Loops führen, wenn DNS-Server sich gegenseitig was weiterleiten. PS: Das ist irgendein Windows-Server-Grundlagenkurs ;) bearbeitet 17. August 2015 von zahni Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 17. August 2015 Autor Melden Teilen Geschrieben 17. August 2015 (bearbeitet) Danke dir für deine Antwort! :) Hab das auf dem zweiten DNS grade noch korrigiert. Ich hatte in der Beziehung auf dem zweiten DNS bisher die unangetastete Standardkonfiguration drin, bzw. auf dem ersten DNS mit dem gearbeitet, was mir von meinem Vorgänger hinterlassen wurde. Der hatte dort eine Weiterleitung auf den Router reingemacht, die überhaupt keine Namen aufgelöst hat. Die anderen Fehler, die du beschreibst, hatte ich auch teilweise. Auf den Clients waren per DHCP teilweise localhost und externe DNS-Server eingetragen. bearbeitet 17. August 2015 von willy-goergen Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 17. August 2015 Melden Teilen Geschrieben 17. August 2015 Hm, dass man auf einem Client Localhost als DNS einträgt, ist schon sehr seltsam. Dein Vorgänger wusste scheinbar nicht was er macht. Auf einem DC ist das ja "default" Da gibt es aber auch einen DNS-Server ;). Die DNS-Server dort über Kreuz einzutragen ist aber trotzdem eine gute Idee. Das beschleunigt das Booten der DCs Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 17. August 2015 Melden Teilen Geschrieben 17. August 2015 Die DNS-Server dort über Kreuz einzutragen ist aber trotzdem eine gute Idee. Das beschleunigt das Booten der DCs Ich würde sagen Best-Practice bei 2 DC´s Lass mal den BPA vom AD laufen... ;) Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 17. August 2015 Autor Melden Teilen Geschrieben 17. August 2015 (bearbeitet) Lass mal den BPA vom AD laufen... Hab gerade mal reingeschaut. Ein Teil dessen, was wir hier diskutiert hatten, ist glaube ich ersichtlich. Die aktuellen Änderungen hat er wohl noch nicht mitbekommen. Was mir, nicht erst seit heute, aufgefallen ist: Die DCs können oder konnten ihren eigenen Namen manchmal nicht mehr auflösen. Das Ergebnis von gerade eben... bearbeitet 17. August 2015 von willy-goergen Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 17. August 2015 Melden Teilen Geschrieben 17. August 2015 Schau mal hier https://support.microsoft.com/de-de/kb/310568 https://www.mcseboard.de/topic/174613-dns-eintr%C3%A4ge-msdcs-sites-tcp-udp-verschwunden/ http://www.experts-exchange.com/Software/Server_Software/Active_Directory/Q_28415910.html Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 17. August 2015 Melden Teilen Geschrieben 17. August 2015 Hab gerade mal reingeschaut. Ein Teil dessen, was wir hier diskutiert hatten, ist glaube ich ersichtlich. Die aktuellen Änderungen hat er wohl noch nicht mitbekommen. Was mir, nicht erst seit heute, aufgefallen ist: Die DCs können oder konnten ihren eigenen Namen manchmal nicht mehr auflösen. Das Ergebnis von gerade eben... Wer hat denn bei IPv6 feste Adressen eingetragen? Habt ihr einen Plan dafür? Und die Zone _msdcs. scheint nicht zu existieren, ist die Domäne gewachsen und war mal 2000 oder 2003? Aber das hat zahni ja auch schon verlinkt. Welche Schema-Version hat das AD, welche wird gefahren? ;) Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 18. August 2015 Autor Melden Teilen Geschrieben 18. August 2015 (bearbeitet) @zahni: Danke für die Links. Den letzten Link konnte ich bisher nicht sichten. Die anderen beschriebenen Lösungsansätze habe ich teils schon probiert. Leider ohne Erfolg. Ich rätsel grade ein bisschen über die Fehlermeldung vom BPA-Analyzer. ...die Zone _msdcs. scheint nicht zu existieren, ist die Domäne gewachsen und war mal 2000 oder 2003? Ich vermute grade ganz stark, dass da die Ursache für die Fehlermeldung liegt. Zum Einstieg in den neuen Job / neuen Arbeitsplatz hatte ich vor einem Jahr einen kaputten Windows 2000er DC vorgesetzt bekommen, der aber grade noch irgendwie funktionierte. Nach einer Fehlerbehandlung des AD hatte ich, mangels funktionierendem 2003er Server, direkt zu einem vorhandenen 2008er R2 migriert. Ganz ohne Reibungsverluste ging das scheinbar nicht. Ich stolpere immer mal wieder über kleine Fehler, die wohl bei der Migration entstanden sind. Zuletzt waren es doppelte SPNs. Die Zone _msdcs.domainname existiert. _msdcs existiert als Unterordner in der DNS-Zone der Domäne. Der Ordner scheint soweit auch vollständig zu sein. Allerdings passt daran scheinbar trotzdem etwas nicht ganz. Bei meiner Suche bin ich über dieses Thema bei Technet gestolpert. https://social.technet.microsoft.com/Forums/windowsserver/en-us/3eca6eba-68ad-43e2-9580-16e72cf8e95a/the-active-directory-integrated-dns-zone-msdcsdomainname-was-not-found?forum=winserverMigration Dort ist mein Fall auch inkl. möglicher Lösung beschrieben. Und der Fehler scheint wohl andere Fehler nach sich zu ziehen (in Verbindung mit Exchange oder entfernten AD-Standorten), die bei mir zum Glück noch nicht aufgetreten sind. Bin grade am Überlegen, wie ich das jetzt am dümmsten mache... EDIT: Die Lösung war eine neue primäre DNS-Zone mit dem Namen _msdcs.FQDN als Forward Lookupzone einzurichten. Der Rest ging von alleine. Wer hat denn bei IPv6 feste Adressen eingetragen? Habt ihr einen Plan dafür? ... Welche Schema-Version hat das AD, welche wird gefahren? ... Ich bin es nicht gewesen und nein. Das ist ein reines IPv4-Netzwerk bei mir. Ich frage mich auch gerade, wo die IPv6-Adresse her kommt und wo ich den Eintrag suchen muss. Auf dem zweiten DNS wird das nicht angemeckert. Dort "fehlt" aber auch die _msdcs Zone und er will dass ich die automatische Bereinigung aktiviere. Das AD hat das Schema Nr. 47 (für den Server 2008 R2). Hab es gerade mal mit dsquery abgefragt. bearbeitet 18. August 2015 von willy-goergen Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 18. August 2015 Melden Teilen Geschrieben 18. August 2015 Steht doch da. Löschen unterhalb deiner forward loskupple Zone, Neuanlagen als Forestzone und Delegation anlegen. Dann netlogon Service durchstarten. Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 18. August 2015 Autor Melden Teilen Geschrieben 18. August 2015 (bearbeitet) Ja, ich weiß, dass die mögliche Lösung quasi schon fast auf dem Präsentierteller dort steht. :) Ist bloß ein bisschen schwierig, weil ich das noch nicht gemacht habe. Nachdem der Leidensdruck deswegen nicht ganz so groß ist, will ich mir das erst mal genauer anschauen, was ich dort machen muss, bzw. was ich dort vielleicht noch alles so machen kann. bearbeitet 18. August 2015 von willy-goergen Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 18. August 2015 Melden Teilen Geschrieben 18. August 2015 Kein Kommentar. Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 18. August 2015 Autor Melden Teilen Geschrieben 18. August 2015 (bearbeitet) Steht doch da. Löschen unterhalb deiner forward loskupple Zone, Neuanlagen als Forestzone und Delegation anlegen. Dann netlogon Service durchstarten. Bist du dir sicher, dass das so in dem von mir verlinkten Thema bei Technet drin steht? Eventuell habe ich dich ja auch falsch verstanden... Btw: Der von mir verlinkte Artikel ist die Lösung gewesen. Jetzt ist nur noch die Aufräumfunktion offen und der auf dem ersten DNS eingetragene Stammhinweisserver, der nicht reagiert. Die Stammhinweise habe ich jetzt auch komplett deaktiviert. EDIT: Das mit den Stammhinweisen auf dem ersten DNS war komisch. Der vom BPA-Analyzer gefundene Server tauchte nirgends in der Stammhinweisliste auf. Das Problem ist nun aber auch gelöst. Zur Auflösung hab ich die fehlerfreie Liste vom zweiten DNS auf den ersten DNS kopiert. Für das Einrichten der Aufräumfunktion werde ich mich danach richten: https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/ Ich denke, das krieg ich auch gar alleine hin. :) Vielen Dank für eure Hilfe! :) bearbeitet 18. August 2015 von willy-goergen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.