sd2019 0 Geschrieben 12. September 2019 Melden Teilen Geschrieben 12. September 2019 Schönen Guten Tag, bei uns im Unternehmen gibt es einige Probleme in Bezug auf DHCP und DNS. Zur Info DHCP und DNS Server sind beide auf dem DC installiert. Es existiert kein DHCP Failover. Server ist eine VM, Windows Server 2016, 1607 Im DHCP IPv4 Bereich existieren mehrere (ca. 20) Bereiche für verschiedene VLAN's (meistens /16 Subnetze) Im Netzwerk befinden sich mehrere Hundert Geräte der DC im Netzwerk hat die 10.1.1.1 Probleme neue Clients im Netzwerk bekommen eine IP-Adresse wie es auch sein soll, dies sehe ich auch unter den Leases im entsprechenden IPv4 VLAN-Bereich, allerdings bleibt die Bezeichnung Name in den Adressleases bei dem entsprechenden Client komplett leer daraus folgt natürlich, dass im DNS Forward, als auch im Reverse Bereich kein Eintrag gesetzt wird (wenn ich alles statisch im DNS eintrage, funktioniert es, aber das ist natürlich keine Lösung) ==> neue DHCP Einträge werden also einfach nicht im DNS eingetragen (früher lief das wohl alles mal irgendwie, da kann ich allerdings keine Aussage zu treffen, da ich neu im Unternehmen bin und Optimierungsarbeiten vornehme) alte DNS Einträge, die nicht mehr aktiv sind, werden nicht gelöscht, so entstehen leider Probleme zu den ganzen /16 VLAN Bereichen aus dem DHCP existieren leider ausschließlich /24 Zonen in der Reverse DNS LookupZone, was meiner Meinung nach eine gute Übersicht und Struktur bietet, allerdings auch nervig ist zu pflegen wenn ein bestimmter DHCP Bereich gerade die letzte IP-Adresse, z.B. 10.1.8.254 vergeben hat und der nächste Client dann die 10.1.9.1 bekommt, muss ich dafür sorgen, dass dann auch eine 9.1.10.in-addr.arpa Reverse-Lookup-Zone eingerichtet ist meiner Meinung nach wäre es viel sinnvoller zum jedem /16 Bereich auch direkt eine /16 Reverse Lookup Zone einzurichten, oder sogar eine /8 Reverse Lookup Zone, laut folgendem Artikel sollte auch nichts dagegen sprechen, oder was meint ihr dazu? https://social.technet.microsoft.com/Forums/en-US/175b5449-858c-4b2c-84a7-17ef3d367885/effects-of-adding-a-classb-reverse-dns-zone?forum=winserverNIS Aktuelle Konfiguration Die könnt ihr den angehangenen Bildern entnehmen :) Die Dateinamen sind immer entsprechend gewählt, damit man weiß welche Eigenschaften man jetzt sieht Darüber hinaus stellt sich mir die Frage, ob ich eventuell den Domänen-Admin in die AD-Gruppe DnsUpdateProxy aufnehmen muss oder aber welchen Benutzer ich bei den Anmeldeinformationen des DHCP Servers hinterlegen muss Konfigurationstechnisch habe ich mich auch schon sehr an dieser Anleitung orientiert: https://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/ Leider hat dies noch nicht zur Lösung der Probleme beigetragen. Wünschenswerte Konfiguration wenn neue DHCP Einträge generiert werden, sollen die sofort in der Forward LookupZone stehen und der Haken bei Entsprechenden Zeigereintrag (PTR) aktualisieren soll natürlich direkt mit gesetzt werden, damit ein Reverse Eintrag gesetzt wird Die Alterung in allen Bereichen soll aktiviert sein, heißt also, wenn sich ein PC z.B. 1 Woche nicht mehr im Netzwerk angemeldet hat, dann soll der DNS Eintrag aus der Forward und Reverse Zone entfernt werden gleiches gilt natürlich auch für aktuell bestehende Altlasten von vor mehreren Jahren Ich hoffe ihr könnt mir hier weiterhelfen. Solltet ihr noch mehrere Informationen benötigen, dann raus damit! :) Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 12. September 2019 Melden Teilen Geschrieben 12. September 2019 Moin, und wo ist jetzt die "Katastrophe", die du im Titel versprichst? Was genau sind die Probleme der Umgebung? Dass Clients nicht im DNS auftauchen, ist unschön, aber in den meisten Umgebungen ohne problematische Folgen. Wichtig ist vor allem, dass die Server dort auftauchen. Im dritten Bild von unten ist die DNS-Alterung auf dem Server ausdrücklich abgeschaltet. Dann findet sie auch nicht statt, egal, was in der Zone steht. Habe ich richtig verstanden, dass es in der Umgebung nur einen DC gibt? Dann wäre das grob fahrlässig. Installiere mindestens einen zweiten. Gruß, Nils Zitieren Link zu diesem Kommentar
sd2019 0 Geschrieben 12. September 2019 Autor Melden Teilen Geschrieben 12. September 2019 Moin, die Katastrophe ist, dass eben die DNS Einträge nicht vernünftig erstellt werden, und somit diverse Folgeprobleme auftauchen (unter anderem Image Rollout auf Clients etc. etc.) Nein, hier im Netzwerk gibt es einen zweiten DC. Da hast du recht, das wäre allerdings grob fahrlässig. Ich sehe gerade noch btw, dass unter quasi allen Reverse Lookup Zonen unter den Eigenschaften im Reiter Namenserver, bei dem Haupt DC bei IP-Adresse unbekannt steht, bei dem DC2 allerdings steht die IP-Adresse, könnte das eventuell auch eine Ursache sein und wenn ja, wie könnte man dies zentral bereinigen? Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 12. September 2019 Melden Teilen Geschrieben 12. September 2019 Moin, Was sagen dass Event Log und dcdiag zu denn Thema? Gruß, Nils Zitieren Link zu diesem Kommentar
sd2019 0 Geschrieben 13. September 2019 Autor Melden Teilen Geschrieben 13. September 2019 Im Event Log kann ich nichts finden und im dcdiag steht folgendes: VerzeichnisDCdiagnose Anfangssetup wird ausgefhrt: Der HomeDC wird gesucht... HomeDC = **DC** * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgefhrt. DC wird getestet: Site-Germany-**ORT**\**DC** Starting test: Connectivity ......................... **DC** hat den Test Connectivity bestanden. Prim„rtests werden ausgefhrt. DC wird getestet: Site-Germany-**ORT**\**DC** Starting test: Advertising ......................... **DC** hat den Test Advertising bestanden. Starting test: FrsEvent ......................... **DC** hat den Test FrsEvent bestanden. Starting test: DFSREvent Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge haben. ......................... Der Test DFSREvent fr **DC** ist fehlgeschlagen. Starting test: SysVolCheck ......................... **DC** hat den Test SysVolCheck bestanden. Starting test: KccEvent ......................... **DC** hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ......................... **DC** hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ......................... **DC** hat den Test MachineAccount bestanden. Starting test: NCSecDesc ......................... **DC** hat den Test NCSecDesc bestanden. Starting test: NetLogons ......................... **DC** hat den Test NetLogons bestanden. Starting test: ObjectsReplicated ......................... **DC** hat den Test ObjectsReplicated bestanden. Starting test: Replications ......................... **DC** hat den Test Replications bestanden. Starting test: RidManager ......................... **DC** hat den Test RidManager bestanden. Starting test: Services ......................... **DC** hat den Test Services bestanden. Starting test: SystemLog Fehler. Ereignis-ID: 0x0000165B Erstellungszeitpunkt: 09/13/2019 08:37:33 Ereigniszeichenfolge: Die Sitzung konnte vom Computer "**CLIENTX**" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "**CLIENTX**$" entsprechend dem angegebenen Computer enth„lt. Fehler. Ereignis-ID: 0x000016AD Erstellungszeitpunkt: 09/13/2019 08:41:48 Ereigniszeichenfolge: Die Sitzungseinrichtung von Computer **CLIENTX** konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten: Fehler. Ereignis-ID: 0x0000165B Erstellungszeitpunkt: 09/13/2019 08:52:33 Ereigniszeichenfolge: Die Sitzung konnte vom Computer "**CLIENTY**" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "**CLIENTY**" entsprechend dem angegebenen Computer enth„lt. ......................... Der Test SystemLog fr **DC** ist fehlgeschlagen. Starting test: VerifyReferences ......................... **DC** hat den Test VerifyReferences bestanden. Partitionstests werden ausgefhrt auf: ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Schema Starting test: CheckSDRefDom ......................... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Configuration Starting test: CheckSDRefDom ......................... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: **ORT** Starting test: CheckSDRefDom ......................... **ORT** hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... **ORT** hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgefhrt auf: **ORT**.mueller-schmidt.de Starting test: LocatorCheck ......................... **ORT**.mueller-schmidt.de hat den Test LocatorCheck bestanden. Starting test: Intersite ......................... **ORT**.mueller-schmidt.de hat den Test Intersite bestanden. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. September 2019 Melden Teilen Geschrieben 13. September 2019 (bearbeitet) Moin Mit Parameter /q zu dcdiag werden nur die Fehler ausgegeben https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc731968(v%3Dws.11) Mit dcdiag /q | clipboard geht es in die Zwischenablage. Mit dcdiag /q >> Datei.txt geht es in eine Datei. bearbeitet 13. September 2019 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 13. September 2019 Melden Teilen Geschrieben 13. September 2019 Moin, vor 5 Stunden schrieb lefg: Mit dcdiag /q | clipboard geht es in die Zwischenablage. fast. Das Umleitungsziel heißt nur "clip". MeinBefehl | clip Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. September 2019 Melden Teilen Geschrieben 13. September 2019 Danke für die Richtigstellung. :) 1 Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 16. September 2019 Melden Teilen Geschrieben 16. September 2019 Moin, einfach im Reiter Nameserver auf bearbeiten, und dann auflösen. Zitieren Link zu diesem Kommentar
sd2019 0 Geschrieben 16. September 2019 Autor Melden Teilen Geschrieben 16. September 2019 Hier sind nur die Fehler: Fehler. Ereignis-ID: 0x0000165B Erstellungszeitpunkt: 09/16/2019 08:54:01 Ereigniszeichenfolge: Die Sitzung konnte vom Computer "NotebookXY" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "NotebookXY$" entsprechend dem angegebenen Computer enth„lt. Fehler. Ereignis-ID: 0x000016AD Erstellungszeitpunkt: 09/16/2019 09:00:15 Ereigniszeichenfolge: Die Sitzungseinrichtung von Computer NotebookXY konnte nicht authentifiziert werden. Der folgende Fehler ist aufgetreten: ......................... Der Test SystemLog fr DC1 ist fehlgeschlagen. @Tektronix das musst du mir erklären @NilsK @lefg also mittlerweile fällt mir tatsächlich nichts mehr ein. Die Ereignisanzeige sagt nichts bestimmtes (außer folgender Fehlermeldung, nachdem ich die Alterung / Aufräumung in allen Bereichen auf 7 Tage gesetzt und aktiviert habe: Der DNS-Server hat den Aufräumzyklus abgeschlossen, aber es wurden keine Knoten besucht. Der Grund für diesen Zustand kann sein: 1) Es sind keine Zonen für das Aufräumen durch diesen Server konfiguriert. 2) Es ist ein Aufräumzyklus innerhalb der letzten 30 Minuten durchgeführt worden. 3) Während des Aufräumens ist ein Fehler aufgetreten. Der nächste Aufräumzyklus ist für die nächsten 168 Stunden geplant. Die Ereignisdaten enthalten den Fehlercode, wenn während des Aufräumzyklus ein Fehler aufgetreten ist. ) Was mir aktuell noch auffällt betrifft die allgemeinen Serveroptionen vom DHCP. Wie bereits erwähnt, haben wir auf dem DC im IPv4 einige Bereiche aufgrund verschiedener VLAN's. Jeder dieser Bereiche hat unter den Bereichsoptionen unter 003 Router die jeweilige IP-Adresse des Subnetzes liegen. Allerdings findet man unter DHCP>DC>IPv4 noch die Serveroptionen, die ganz oben über allen anderen Bereichen angeordnet sind. Dort ist merkwürdigerweise bei 003 Router das Gateway aus einem bestimmten VLAN eingetragen, aber sollte dort nicht eigentlich das Gateway vom DC stehen? Ansonsten wüsste ich aktuell nicht was ich noch überprüfen sollte?? Ich verstehe einfach nicht, warum bei einem neuen Client, der via DHCP eine IP-Adresse bekommen hat, 0 Einträge im DNS gesetzt werden, weder im Forward und dann natürlich auch nicht im Reverse Bereich. Darüber hinaus werden dann auch neue IP-Adressen vom DHCP vergeben, wo bereits noch ein alter DNS Eintrag existiert, aber natürlich einen ganz anderen Namen aufweist als der neue Client Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 16. September 2019 Melden Teilen Geschrieben 16. September 2019 Moin, wie du merkst, ist das per Forum etwas mühsam. Meine Empfehlung: Hol dir jemanden ins Haus. So wild kann es nicht sein, aber man kann sich das vor Ort im Zusammenhang besser ansehen. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. September 2019 Melden Teilen Geschrieben 16. September 2019 (bearbeitet) vor 2 Stunden schrieb sd2019: Fehler. Ereignis-ID: 0x0000165B Erstellungszeitpunkt: 09/16/2019 08:54:01 Ereigniszeichenfolge: Die Sitzung konnte vom Computer "NotebookXY" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "NotebookXY$" entsprechend dem angegebenen Computer enth„lt. Moin In solch einem Fall versuchen das Gerät normal aus der Domäne zu entfernen, dann neu starten. In Ereignisprotokoll von Server und Client schauen. Falls das Computerkonto im AD nicht automatisch gelöscht, es händisch löschen. Dann den Computer wieder der Domäne hinzufügen. Mehrfache Blicke in die Ereignisanzeigen können schon hilfreich sein. bearbeitet 16. September 2019 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.