Eine Frage zu DNS nach Installation neuer DC

[RealUnreal 11]

Hi zusammen,

Ich muss euch nochmal eine Frage stellen.

Ich bin ja immer noch mit meinem Projekt mit dem Serverumzug beschäftigt.

 

Ich hatte früher einen einzigen DC.

Er hieß DC1.

Nun habe ich einen neuen DC installiert; er heißt DC2.

Im Moment gibt es nur den einen DC(2).

Der alte DC1 ist herabgestuft und die Rolle AD und DNS Server ist deinstalliert.

Alle FSMO Rollen sind auf DC2 übertragen.

 

Alle Einträge der Clients zeigen auf den neuen DC2.

Im DHCP ist nur noch DC2 hinterlegt.

 

Problem ist, dass die Clients nach einem "aufwachen" aus dem Energiesparmodus 1-2 Minuten brauchen, bis das DNS funktioniert.

Ich denke ich muss da ein paar veraltete Einträge löschen.

 

Bevor ich etwas falsches lösche, anbei mal ein paar Screenshots aus dem DNS.

Frage(n):

- Bei ersten Screenshot "_msdcs:domänenname.local" kann ich doch "serverdc1" löschen und bei "serverdc2" sollte ich die IP eintragen. Richtig?

- Bei Screenshot 2 "domänenname.local" kann ich "serverdc1" löschen?

- Bei der Reverse Lookup Zone in Screenshot 3, dann wieder "serverdc1" löschen und bei "serverdc2" die richtige IP eintragen?

 

Stimmt das alles soweit?

 

vielen dank vorab und viele Grüße

Unreal

 

[NorbertFe 2.045]

Ja kannst du so machen. 👍

[RealUnreal 11]

vor 15 Minuten schrieb NorbertFe:

Ja kannst du so machen. 👍

 

Super, danke dir! :)

Ich habs eben gleich gemacht und jetzt scheint es auch zu funktionieren.

DNS funktionierte bei dem Testclient sofort nach dem aufwachen :)

[RealUnreal 11]

Hi!

Ich habe heute im Laufe des Tages nochmal ein bisschen rumprobiert.

Meistens ist das DNS direkt nach dem aufwachen des PC aus dem Energiesparmodus da.

Manchmal aber auch leider nicht.

Dann dauert es bis zu 1 Minute bis sich UNC Pfade mit Namen öffnen.

UNC Pfade mit IP Adressen, statt DNS Namen öffnen sich immer sofort.

 

Ich habe mal auf dem Domain Controller (DC2) dxdiag ausgeführt.

 

Zitat

dcdiag /test:dns /v /s:serverDC2 /DnsBasic /f:c:dcdiagreport.txt

 

Ergebnis:

 

Zitat

Verzeichnisserverdiagnose

Anfangssetup wird ausgefhrt:
   * Die Verbindung mit dem Verzeichnisdienst auf Server serverDC2 wird hergestellt.
   * Identifizierte AD-Gesamtstruktur. 
   Collecting AD specific global data 
   * Standortinformationen werden gesammelt.
   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=meinedomain,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
   The previous call succeeded 
   Iterating through the sites 
   Looking at base site object: CN=NTDS Site Settings,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=meinedomain,DC=local
   Getting ISTG and options for the site
   * Alle Server werden identifiziert.
   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=meinedomain,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
   The previous call succeeded....
   The previous call succeeded
   Iterating through the list of servers 
   Getting information for the server CN=NTDS Settings,CN=SERVERDC2,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=meinedomain,DC=local 
   objectGuid obtained
   InvocationID obtained
   dnsHostname obtained
   site info obtained
   All the info for the server collected
   * Alle Querverweise des Namenskontexts werden identifiziert.
   * 1 Dom„nencontroller gefunden. 1 davon werden getestet.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgefhrt.
   
   Server wird getestet: Standardname-des-ersten-Standorts\SERVERDC2
      Starting test: Connectivity
         * Active Directory LDAP Services Check
         Determining IP4 connectivity 
         * Active Directory RPC Services Check
         ......................... SERVERDC2 hat den Test Connectivity bestanden.

Prim„rtests werden ausgefhrt.
   
   Server wird getestet: Standardname-des-ersten-Standorts\SERVERDC2
      Test durch Benutzeranforderung ausgelassen: Advertising
      Test durch Benutzeranforderung ausgelassen: CheckSecurityError
      Test durch Benutzeranforderung ausgelassen: CutoffServers
      Test durch Benutzeranforderung ausgelassen: FrsEvent
      Test durch Benutzeranforderung ausgelassen: DFSREvent
      Test durch Benutzeranforderung ausgelassen: SysVolCheck
      Test durch Benutzeranforderung ausgelassen: KccEvent
      Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders
      Test durch Benutzeranforderung ausgelassen: MachineAccount
      Test durch Benutzeranforderung ausgelassen: NCSecDesc
      Test durch Benutzeranforderung ausgelassen: NetLogons
      Test durch Benutzeranforderung ausgelassen: ObjectsReplicated
      Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
      Test durch Benutzeranforderung ausgelassen: Replications
      Test durch Benutzeranforderung ausgelassen: RidManager
      Test durch Benutzeranforderung ausgelassen: Services
      Test durch Benutzeranforderung ausgelassen: SystemLog
      Test durch Benutzeranforderung ausgelassen: Topology
      Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
      Test durch Benutzeranforderung ausgelassen: VerifyReferences
      Test durch Benutzeranforderung ausgelassen: VerifyReplicas
   
      Starting test: DNS
         
         DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige Minuten...
         See DNS test in enterprise tests section for results
         ......................... SERVERDC2 hat den Test DNS bestanden.
   
   Partitionstests werden ausgefhrt auf: ForestDnsZones
      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
      Test durch Benutzeranforderung ausgelassen: CrossRefValidation
   
   Partitionstests werden ausgefhrt auf: DomainDnsZones
      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
      Test durch Benutzeranforderung ausgelassen: CrossRefValidation
   
   Partitionstests werden ausgefhrt auf: Schema
      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
      Test durch Benutzeranforderung ausgelassen: CrossRefValidation
   
   Partitionstests werden ausgefhrt auf: Configuration
      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
      Test durch Benutzeranforderung ausgelassen: CrossRefValidation
   
   Partitionstests werden ausgefhrt auf: meinedomain
      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
      Test durch Benutzeranforderung ausgelassen: CrossRefValidation
   
   Unternehmenstests werden ausgefhrt auf: meinedomain.local
      Starting test: DNS
         Testergebnisse fr Dom„nencontroller:
            
            Dom„nencontroller: ServerDC2.meinedomain.local
            Dom„ne: meinedomain.local
           
                  
               TEST: Authentication (Auth)
                  Authentifizierungstest: Erfolgreich abgeschlossen
                  
               TEST: Basic (Basc)
                  Das OS Microsoft Windows Server 2022 Standard (Service Pack level: 0.0) wird untersttzt.
                  NETLOGON-Dienst wird ausgefhrt.
                  kdc-Dienst wird ausgefhrt.
                  DNSCACHE-Dienst wird ausgefhrt.
                  DNS-Dienst wird ausgefhrt.
                  Dom„nencontroller ist ein DNS-Server.
                  Informationen zum Netzwerkadapter:
                  Adapter [00000001] Microsoft Hyper-V Network Adapter:
                     MAC address is FC:89:B5:26:08:1A
                     IP-Adresse ist statisch. 
                     IP address: 192.168.10.208, fe80::e807:bbaa:3d94:893
                     DNS-Server:
                        192.168.10.208 (SERVERDC2) [Valid]
                        127.0.0.1 (SERVERDC2) [Valid]
                  The A host record(s) for this DC was found
                  The SOA record for the Active Directory zone was found
                  The Active Directory zone on this DC/DNS server was found primary
                  Root zone on this DC/DNS server was not found
         
         Zusammenfassung der Testergebnisse fr die von den oben aufgefhrten Dom„nencontrollern verwendeten
         DNS-Server:
         
            DNS-Server: 192.168.10.208 (SERVERDC2)
               Alle Tests auf diesem DNS-Server bestanden
               Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
               
         Zusammenfassung der DNS-Testergebnisse:
         
                                            Auth. Bas. Weiterl. Entf.  Dyn.  RReg. Erw.
            _________________________________________________________________
            Dom„ne: meinedomain.local
               ServerDC2                    PASS PASS n/a  n/a  n/a  n/a  n/a  
         
         ......................... meinedomain.local hat den Test DNS bestanden.
      Test durch Benutzeranforderung ausgelassen: LocatorCheck
      Test durch Benutzeranforderung ausgelassen: Intersite
 

 

Und dann mal ipconfig /all auf dem Client mit dem ich teste. (Der hat eine Reservierung auf dem DHCP Server)

Ergebnis:

 

Zitat

C:\Users\user33>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : W-22
   Primäres DNS-Suffix . . . . . . . : meinedomain.local
   Knotentyp . . . . . . . . . . . . : Broadcast
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : meinedomain.local

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: meinedomain.local
   Beschreibung. . . . . . . . . . . : Realtek PCIe 2.5GbE Family Controller
   Physische Adresse . . . . . . . . : 2C-F0-5D-D7-B6-31
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::4d80:47f9:dad1:885a%7(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.10.22(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Samstag, 15. Januar 2022 16:06:37
   Lease läuft ab. . . . . . . . . . : Sonntag, 23. Januar 2022 23:33:28
   Standardgateway . . . . . . . . . : 192.168.10.1
   DHCP-Server . . . . . . . . . . . : 192.168.10.208
   DHCPv6-IAID . . . . . . . . . . . : 103608413
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-28-34-15-32-2C-F0-5D-D7-B6-31
   DNS-Server  . . . . . . . . . . . : 192.168.10.208
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter VMware Network Adapter VMnet1:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1
   Physische Adresse . . . . . . . . : 00-50-56-C0-00-01
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::e172:7d1d:d5e9:9a34%3(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.64.1(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 184569942
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-28-34-15-32-2C-F0-5D-D7-B6-31
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter VMware Network Adapter VMnet8:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet8
   Physische Adresse . . . . . . . . : 00-50-56-C0-00-08
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::b05e:5969:7767:b5ce%4(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.203.1(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 201347158
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-28-34-15-32-2C-F0-5D-D7-B6-31
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

 

Das VMware Zeugs kommt vom VMware Workstation.

 

Jedenfalls habe ich keine Ahnung woran diese Trägheit beim aufwachen aus dem Energiesparmodus des DNS liegt.

Ich glaube mit alten DNS gab es diese Verzögerung nicht.

 

Edit: Es ist nicht so, dass es garnicht geht. Es geht 7mal und 1mal nicht.

Wenn ich während sich gerade die Netzlaufwerke nicht öffnen "ipconfig/all" ausführe, hat der Client trotzdem korrekt den DNS Server und die IP.

Nur es öffnet sich nicht (sofort)

Edit2: Ich habe jetzt mal testweise das IPv6 Protokoll am Client deaktiviert. Das ist nur so eine Ahnung...

bearbeitet 15. Januar 2022 von RealUnreal

[Sunny61 806]

Hast Du eine Fritzbox oder einen Speedport von der Telekom im Einsatz? Bei der FB kann man IPV6 abschalten, beim Speedport AFAIK nicht.

bearbeitet 16. Januar 2022 von Sunny61

[RealUnreal 11]

vor 2 Stunden schrieb Sunny61:

Hast Du eine Fritzbox oder einen Speedport von der Telekom im Einsatz? Bei der FB kann man IPV6 abschalten, beim Speedport AFAIK nicht.

 

Danke dir! Ja, wegen der Fritzbox und diesem blöden Fritzbox Ipv6 DHCP Server hatte ich auch einen Fehler im Ereignisprotokoll auf dem DC.

Ich konnte das deaktivieren und der Fehler im Ereignisprotoll ist jetzt auch weg.

Das fiese ist, dass sich der IPv6 Server der Fritzbox nach manchen Fritzbox Updates von alleine wieder aktiviert....

 

Leider bleibt es aber bei dem sporadischen Problem mit dem nicht richtig funktionierenden DNS, wenn der Client aus dem Standby aufwacht.

 

Ich habe versucht das zu reproduzieren. Wenn ich als normaler User angemeldet und wecke den PC dann auf, hatte ich im Schnitt bei vielleicht 7 Versuchen sofort nach dem Aufwachen des PC Zugriff auf die DNS Pfade. Bei 8ten Mal dauert es dann plötzlich zwischen 15 Sekunden und 1 Minute.

 

Wenn ich als Administrator an dem Client angemeldet bin, hat es von 5 Versuchen jedesmal sofort geklappt.

 

Komisch

 

 

[Tektronix 21]

Moin,

ich integriere immer die Lösung. Funktioniert super.

https://www.gruppenrichtlinien.de/artikel/ipv6-deaktivieren-das-protokoll-nicht-die-bindung

 

[Weingeist 159]

Diese Lösung ist zwar OK aber eigentlich nur ein Teil des Problems. Manche Komponenten ignorieren den Reg-Entry und gehen trotzdem auf IPv6 und man hat interessante und unerklärliche Phänomene. Insbesondere wenn eben das Binding deaktiviert wird. Ansonsten fallen sie oft nicht auf, weil trotzdem via IPv6 kommunziert wird. Kann man leicht überprüfen wenn mit der Firewall IPv6 geblockt wird und das logging aktiviert. =)

 

Wenn man keinen Ärger möchte und sicherstellen will das alles, z.bsp auch der Anmeldevorgang, das laden der GPP's via IPv4 läuft und Loopback ebenfalls zuverlässig IPv4 genutzt wird, muss man das Routing noch anpassen.

 

Zum verändern
netsh int ipv6 set prefixpolicy ::ffff:0:0/96 60 4
netsh int ipv6 set prefixpolicy ::/96 55 3
netsh int ipv6 set prefixpolicy ::1/128 50 0
netsh int ipv6 set prefixpolicy ::/0 40 1
netsh int ipv6 set prefixpolicy 2002::/16 30 2
netsh int ipv6 set prefixpolicy 2001::/32 5 5
netsh int ipv6 set prefixpolicy fc00::/7 3 13
netsh int ipv6 set prefixpolicy 3ffe::/16 1 12
netsh int ipv6 set prefixpolicy fec0::/10 1 11


IPv6 deaktivieren inklusive  tunnel
-----------------------------------
netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled
netsh interface ipv6 isatap set state state=disabled
netsh interface teredo set state disabled

Neuere OS auch mit Powershell:
------------------------------
Set-Net6to4configuration -state disabled
Set-Netisatapconfiguration -state disabled
Set-NetTeredoConfiguration -type disabled

 

So kann man auch das Binding völlig problemlos rauskicken.

 

Natürlich gibts dann noch die ganzen Dienste für Teredo und wie sie alle heissen usw. die man auch deaktivieren kann aber nicht zwingend muss. Auch den IPv6 Subdienst kann man deaktivieren, dann ist der Stack quasi wirklich lahmgelegt. Mache ich aber in der Regel nur bei Industriemaschinen.

 

Das Zeug war übrigens mal das Standard-Verfahren gemäss MS um Exchange supported mit IPv4 zu betreiben obwohl eigentlich nur IPv6 supported ist. Musste dann durch einen MS-Spezialist extra geprüft und freigegeben werden. Seit ich das mal mitgeschnitten habe, mache ich das immer so. Funktioniert auch bei Server 2022 noch prächtig. Via Firewall kann man es dann prüfen und es gehen so tatsächlich keinerlei IPv6 Pakete mehr raus. Am besten macht man das via Script/Gegenscript um den Ursprungszustand easy wiederherzustellen. Updates pfuschen einem in der Regel darin auch nicht rum.