DNS Namensauflösung Ursache für Anmeldeabbrüche?

[giffy 10]

Es werden in unserem Rechenzentrum  3 DNS Server betrieben. An unseren großen Außenstandorten werden ebenfalls DNS Server betrieben.

Die DNS-Zonen sind AD integrierte DNS-Zonen. Alle Server haben ebenfalls die Rolle eines DC. Alle Server aus dem RZ und den großen Außenstandorten sind in der DNS-Zone unter dem Reiter" Namensserver" eingetragen. Die Zonenübertragen bekommt die Informationen aus der Liste der Namensserver

 

In unser Terminalserverumgebung kam es vermehrt zu Abbrüchen bei der Anmeldung. Sie ist zentralisiert am Rechenzentrumstandort

Alle Terminalserver sin in ihrer IP- Konfiguration so eingestellt, die standortlokalen DNS Server abzufragen

 

Bei der Fehlersuche ist folgendes aufgefallen. Führte ich  einen nslookup auf den Namen der DNS-Domäne aus, so antwortete ein DNS Server aus dem entfernten Außenstandort.

 

Mit dem Workaround: ipconfig /flushdns leerten wir den DNS Cache des Terminalservers bis der nslookup auf Name der DNS-Zone von einem DNS-Server (1. DNS Server gemäß Netzwerkadapter) die Auflösung zurückmeldete.

 

Was sind die technischen Umstände, die eine Abweichung zwischen Netzwerkadapter Konfiguration und den vorgefundenen Cache-Daten führen?

 

Beeinflusst DNS die Anmeldesteuerung im AD?  Meine bescheiden These ist: Eigentlich nein, sofern die Standortinformationen korrekt gepflegt sind (Das ist im 6 Augen-Prinzip ebenfalls kontrolliert worden. Standorte sind definiert. Subnetze sind korrekt zugeordnet. DC-Server Objekte werden korrekt in den Standorten angezeigt)

Die Anmeldeanfragen der Benutzer werden Standortlokal abgearbeitet.

 

Oder gibt es Ausnahmen?

[ChrisRa 42]

Das von dir beschriebene Verhalten ist gewollt und nennt sich Round Robin.

Die "Anmeldesteuerung" wird von den Sites and Services gesteuert, wie du schon sagtest. Schau mal in die _msdcs.domäne DNS-Zone unter dc --> _sites. Da solltest du schlauer werden.

bearbeitet 30. März 2016 von ChrisRa

[giffy 10]

Im Ordner  "_tcp" versammeln sich alle DC _Kerberos- und _ldap- Einträge aller zugehörigen DC sind vorhanden kein Eintrag fehlt. Im Ordner "_Sites" sind alle Standorte vorhanden . Die Einträge der DC sind auch vorhanden

[MurdocX 957]

Sind die Netze in den Standorten gepflegt, bzw. angelegt worden?

[giffy 10]

Ja es sind alle Netze gepflegt und korrekt zugeordnet

[ChrisRa 42]

Die Einträge der DC sind auch vorhanden

 

Die Einträge welcher DCs? Aller? Dann ist da was "falsch" konfiguriert.

[giffy 10]

Präzise: Die Einträge der DC in Abhängigkeit der aufgeführten Standorte sind komplett vollständig.

[NilsK 2.969]

Moin,

 

nslookup ist nicht geeignet, die Namensauflösung durch den Client zu überprüfen. Es arbeitet anders als der normale Resolver.

 

[Wenn (und warum) nslookup unerwartete Ergebnisse zeigt | faq-o-matic.net]
http://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/

 

Dass der Abbruch der Anmeldung mit DNS zusammenhängt, ist ausgesprochen unwahrscheinlich. In dem Moment, wo die Anmeldung beginnt, ist die Namensauflösung ja schon abgeschlossen.

 

Gruß, Nils

[Dunkelmann 96]

Moin,

 

bist Du sicher, dass es am DNS liegt?

Wie ist die RDS Umgebung aufgebaut. Eventuell gibt es Probleme mit dem Connect und Redirect unter 2008R2

[giffy 10]

Danke an alle, die mir geantwortet haben. Weiter Recherche haben ergeben, dass Probs mit der Gruppenrichtlinienverarbeitung gibt, die den thematischen Rahmen dieses Thread sprengen.

Wie von Dunkelmann vermutet

Danke Nilsk für den Link zum Artikel.

Allen anderen einen guten Start in die Woche