DNS Slave Zone auf Synology

[Bosco 0]

Guten Morgen,

 

vielleicht könnt ihr mir helfen. Ich habe auf einem Synology NAS 918, sozusagen als Backup, eine Slave DNS Zone erstellt. Diese läuft und die Einträge werden

auch vom Master Win2008 übernommen und geladen. Allerdings bekomme ich beim automatsichen Abgleich immer die Meldung:

 

transfer of 'Domäne.local/IN' from 192.168.x.x#53: failed while receiving responses: not exact

 

Auf dem Master habe ich die Zonenübetrageung freigegeben und das NAS wird hier auch akzeptiert.

 

 

Die oben genannte Umgebung läuft so seit ca, zwei Tagen. Eben kam zum ersten mal der Fehler:   TTL differs in rdataset, adjusting 1200 -> 3600 dazu.

Auf dem Server liegt die Alterung bei 7 Tagen, auf dem NAS bei einem Tag.

 

Danke und VG

 

Bosco

 

 

 

bearbeitet 12. September 2019 von Bosco

[testperson 1.728]

Hi,

 

hier scheint es ja um eine Windows AD Domäne zu gehen. Im AD ist DNS ein "relativ wichtiger" Bestandteil, der funktionieren sollte. Hier wäre die Frage, ob eine Sekundäre Zone auf einem "Consumer NAS" der richtige Ort (und das richtige Mittel) ist.

 

Wieviele Domain Controller gibt es denn? Wenn es nur einen gibt, dann stelle einen zweiten samt DNS dazu. Was nützt dir DNS ohne Domäne?

Wenn es mehrere DCs inkl. DNS gibt wäre die Frage was du mit dem "Backup" später erreichen willst?

 

Gruß

Jan

 

 

[Bosco 0]

Hi Jan,

 

danke für deine Einschätzung. Zweiter DC ist geplant, habe ihn aber mal wieder nicht genehmigt bekommen.

Also aktuell besteht nur ein DC als VM. Bis jetzt gab es hier keinen zweiten, da dies auch eine VM auf dem selben Host

wäre. Seit kurzem habe ich einen zweiten ESXi in Betrieb und hätte hier die Möglichkeit eines zweiten DC.

Würde hier eine Win16 Essentials ausreichen? Und wenn ja, wäre dies mit dam aktuellen Win2k8 Server kompatibel?

 

Grüße

Bosco

 

 

... der zweite DNS soll im Falle des DC Ausfalls den Zugriff Richtung Interner aufrecht erhalten (... war nicht meine Idee, soll es nur mal wieder so umsetzen.)

 

bearbeitet 12. September 2019 von Bosco

[testperson 1.728]

Hi,

 

der Essentials Server muss ein Domain Controller sein. AFAIK muss dieser auch zwingend die FSMO-Rollen halten. Es spricht aber nichts gegen weitere DCs neben dem Essentials. Generell sind die Server auch untereinander kompatibel.

 

Mit der angedachten Lösung wirst du dir vermutlich mehr Probleme machen wie lösen. Du solltest einen zweiten DC samt DNS in Betriebnehmen (oder es so belassen).

 

Gruß

Jan

 

P.S.: Warum ist denn immer das Internet so wichtig? Auch bei unseren Kunden habe ich häufig das Gefühl, die Firma kann brennend untergehen und die Hauptsache: Das Internet läuft...

[Nobbyaushb 1.484]

OT/ Server 2008 ist doch schon aus dem Support? /OT

[Bosco 0]

42 minutes ago, testperson said:

Hi,

 

der Essentials Server muss ein Domain Controller sein. AFAIK muss dieser auch zwingend die FSMO-Rollen halten. Es spricht aber nichts gegen weitere DCs neben dem Essentials. Generell sind die Server auch untereinander kompatibel.

 

Mit der angedachten Lösung wirst du dir vermutlich mehr Probleme machen wie lösen. Du solltest einen zweiten DC samt DNS in Betriebnehmen (oder es so belassen).

 

Gruß

Jan 

 

P.S.: Warum ist denn immer das Internet so wichtig? Auch bei unseren Kunden habe ich häufig das Gefühl, die Firma kann brennend untergehen und die Hauptsache: Das Internet läuft...

Ok, danke dir, wenn ich das mit dem Internet nur wüßte Sehe das genauso wie du.  Werde mal schauen, was mich ne 2016er Essentials kostet. Dann einfach eine VM auf den anderen ESXi und die Kuh müßte vom Eis sein.

 

 

Der Support ist nur "fast" ausgelaufen: Extended End 1/14/2020. Allerdings befürchte ich, wir haben das Teil noch ein wenig länger, wenn ich das hier so sehe.

Weißt ja, was läuft, läuft

bearbeitet 12. September 2019 von Bosco

[falkebo 21]

vor 59 Minuten schrieb Bosco:

Der Support ist nur "fast" ausgelaufen: Extended End 1/14/2020. Allerdings befürchte ich, wir haben das Teil noch ein wenig länger, wenn ich das hier so sehe.

Weißt ja, was läuft, läuft

 

 

Bis es nicht mehr läuft

[Gu4rdi4n 62]

vor 2 Stunden schrieb testperson:

P.S.: Warum ist denn immer das Internet so wichtig? Auch bei unseren Kunden habe ich häufig das Gefühl, die Firma kann brennend untergehen und die Hauptsache: Das Internet läuft...

Wenn bei uns das Internet nicht mehr geht, dann kann man auch keine Feuerwehr mehr anrufen wenn die Firma abfackelt

Emails gehn dann auch nicht mehr raus ;)

[XP-Fan 220]

Hallo Bosco,

 

bitte mache dich vor dem Kauf mit den Server Versionen vertraut, der Essential hat gewisse Limits.

[Bosco 0]

47 minutes ago, XP-Fan said:

Hallo Bosco,

 

bitte mache dich vor dem Kauf mit den Server Versionen vertraut, der Essential hat gewisse Limits.

Hi,

 

ja danke, habe mich schon eingelesen, wie es aussieht ist diese als "Sekundäre" Version nicht wirklich geeignet.

 

Grüße

Bosco

 

 

 

 

 

 

Hätte noch eine abschließende Frage, auf die ich hoffentlich die passende Antwort bekomme

 

Auf einmal bekomme ich permanent, beim Versuch Einstellungen zu ändern, die Meldung: Das Nicht-Aktualisierungsintervall wurde nicht festgelegt. Zugriff wurde verweigert.

Dazu habe ich im Netz leider nichtsbrauchbares gefunden. Und ja, das Intervall ist eingestellt.

 

 

Danke euch und Gruß

Bosco

bearbeitet 12. September 2019 von Bosco

[lefg 276]

vor 5 Stunden schrieb Bosco:

... der zweite DNS soll im Falle des DC Ausfalls den Zugriff Richtung Interner aufrecht erhalten (... war nicht meine Idee, soll es nur mal wieder so umsetzen.)

 

Moin

 

Wurde das denn real getestet?

 

In den mir bekannten AD-Integrierten DNS stehen nur Adressen der Teilnehmer des LAN, keine des Internets.

 

An den WS des LAN steht als 1.DNS-Eintrag die Adresse des 1.DC Ist kein weiterer DC vorhanden, steht als 2-DNS-Eintrag die Adresse des Inet-Routers. Fällt der einzige DC aus, findet für die Adressen des LAN keine Auflösung mehr statt, aber für das Internet macht der DNS des Providers den Job.

bearbeitet 12. September 2019 von lefg

[tesso 375]

vor 3 Stunden schrieb lefg:

An den WS des LAN steht als 1.DNS-Eintrag die Adresse des 1.DC Ist kein weiterer DC vorhanden, steht als 2-DNS-Eintrag die Adresse des Inet-Routers. Fällt der einzige DC aus, findet für die Adressen des LAN keine Auflösung mehr statt, aber für das Internet macht der DNS des Providers den Job. 

Bitte niemals den Router als zweiten DNS an den Workstations eintragen(auch nicht als zweiten DNS). Das gibt lustige Effekte.

 

bearbeitet 12. September 2019 von tesso

[lefg 276]

vor einer Stunde schrieb tesso:

Bitte niemals den Router als zweiten DNS an den Workstations eintragen(auch nicht als zweiten DNS). Das gibt lustige Effekte.

 

Bitte, könntest Du das näher beschreiben! Gibt es Referenzen dazu?

 

Ich hab sowas oft und viele Jahre betrieben, ohne das mir selbst etwas aufgefallen, keine Meldungen die darauf schliessen liessen.

 

Was sollten denn Leute machen ohne 2.DC und ohne ein weiteres Gerät wie das NAS?

 

Und es gibt eine Menge Einrichtungen, die haben nur einen DC. Und die bekommen auch keinen weiteren. Und wenn das Web auch ohne den DC erreichbar sein muss, dann so wie ich es beschrieben. Und nicht in jedem Fall ist ein zweiter funktionierender DC zwingend. Aber die Erreichbarkeit des Web schon, denn damit kann man Leute beschäftigen.

 

OK, das wird wohl zu OT, ich hör mal auf.

bearbeitet 12. September 2019 von lefg

[tesso 375]

Ich habe mehrfach erlebt, daß der Client den zweiten DNS nutzt obwohl der erste verfügbar war.

Irgendwo hatte ich auch mal ein Papier von MS indem beschrieben war unter welchen Umständen der zweite DNS genutzt wird.

 

Ich suche mal, ob ich das noch finde.

 

Auf die Schnelle habe ich die Ausnahmen nicht gefunden.

Ein Problem ist aber dein erster DNS bootet gerade, dann nehmen die Clients den zweiten. Der kennt deine internen Namen nicht und sagt "gibt es nicht". Dieser Negativeintrag wird 300 Sekunden gecacht.

bearbeitet 12. September 2019 von tesso

[mwiederkehr 384]

Zitat

The DNS Client service sends the name query to the first DNS server on the preferred adapter’s list of DNS servers and waits one second for a response.

If the DNS Client service does not receive a response from the first DNS server within one second, it sends the name query to the first DNS servers on all adapters that are still under consideration and waits two seconds for a response.

und

Zitat

The DNS Client service keeps track of which servers answer name queries more quickly, and it moves servers up or down on the list based on how quickly they reply to name queries.

Quelle: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd197552(v=ws.10)

 

Das würde heissen, wenn der erste DNS sich mal länger als eine Sekunde Zeit lässt mit der Antwort, wird er danach ignoriert. Das kann schon mal vorkommen, wenn er einen Namen im Internet auflösen muss und der zuständige DNS-Server keine Antwort gibt.

 

Das Problem ist dann, dass er nicht wieder den internen DNS fragt, wenn ihm der externe logischerweise die interne Domäne nicht aufgelöst hat.

 

In der Praxis habe ich schon viele solche Konfigurationen gesehen. Meist funktioniert es. Manchmal werden nach einigen Stunden die Gruppenrichtlinien nicht mehr aktualisiert, aber das merkt der Benutzer meist nicht. Die verbundenen Laufwerke und Drucker bleiben ja verbunden. Jedenfalls bis irgendwann das Ticket abläuft, aber das hält schon einen Arbeitstag.

 

Würde ich so nicht konfigurieren. Wenn die Firewall verfügbarer ist als der DC, kann man auf der Firewall einen Forwarder zum DC einrichten und dann die Firewall als DNS bei den Clients eintragen.