DNS - Probleme

[-nin 11]

Guten Morgen zusammen,

ich habe ein leidiges Problem, dem ich gerne mal entgegenwirken möchte.

Ich habe zwar mittlerweile eine Menge Erfahrungen gesammelt, grade auch durch das Forum hier, was Windows Server-Systeme angeht, aber das Thema DNS haut mich jedesmal aus den Schuhen.

 

Wir haben in unserem Betrieb, schon, als ich hier als ausgelernter Schüler (schulische Ausbildung) angefangen habe ein funktionierendes Windows 2000 Server-Netzwerk stehen gehabt.

 

Mit der Erfahrung stelle ich aber fest, dass mit unseren DNS-Einstellungen irgendwas nicht so richtig stimmen kann. Ich habe aber auf Grund meines Halbwissens bei DNS Angst davor, etwas daran zu ändern.

 

Hier sind mal ein paar Dinge, die hier so passieren:

Hauptsächlich Windows XP Clients.

 

- Clients verlieren sporadisch die Netzlaufwerke, aber nicht alle Clients! Sie werden mit einem roten x-angezeigt. - Bisherige Lösung: Loginscript manuell ausführen.

 

- Windows XP Client mapped die Laufwerke gar nicht. Das Loginscript wird nicht ausgeführt

Userenv 1054

Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden...

Versuche: Aus Domäne ausgetreten, AD: Computerkonto gelöscht, DNS-Eintrag in der Forward-Lookupzone entfernt - Wieder neu eingetreten.

 

ipconfig /flushdns

ipconfig /registerdns

 

es bringt nichts.

 

Auf einem Windows 2000 Server

Der Netzwerkadapter konnte mit folgenden Einstellungen nicht registriert werden:

 

Adaptername : {A29EFD7B-23D3-4F68-BB95-E97F1CFF0371}

Hostname : Server1

Adapterspezifisches Domänensuffix : Firma.loc

DNS-Serverliste :

192.168.254.2, 192.168.254.5

Server, an den das Update gesendet wurde : 192.168.254.2

IP-Adresse(n) :

192.168.254.1

 

Die Registrierung ist fehlgeschlagen, weil der DNS-Server die dynamische Updateanforderung verweigert hat. Mögliche Ursachen sind: (a) Die aktuellen DNS-Updaterichtlinien lassen das Update für den für diesen Adapter konfigurierten DNS-Domänennamen nicht zu. (b) Der autorisierende DNS-Server für diesen DNS-Domänennamen unterstützt das Protokoll für das dynamische DNS-Update nicht.

 

Wenden Sie sich an den DNS-Server- oder Netzwerksystemadministrator, um einen (A) Ressourceneintrag des DNS-Hosts mit dem spezifischen DNS-Domänenname für diesen Adapter zu registrieren.

 

Mein Versuch: Rechtsklick auf die Domäne im DNS, Firma.loc -> Eigenschaften -> Allgemein Dynamische Aktualisierung: von "Nur gesicherte Akt...." auf "ja" gestellt.

Hat nichts gebracht.

 

Auf unserem DNS-Server:

Ein an den DNS-Server adressiertes gesendetes Paket wurde gefunden. -- IP-Adresse 192.168.254.2.

 

Der DNS-Server darf kein Paket an sich selbst senden. Diese Situation weist auf einen möglichen Konfigurationsfehler hin.

 

Überprüfen Sie folgende Bereiche auf Konfigurationsfehler, die die Selbstadressierung erklären:

1) Weiterleitungsliste. (DNS-Server dürfen an sich selbst keine Weiterleitung richten).

2) Masterliste von sekundären Zonen.

3) Benachrichtigungslisten von primären Zonen.

4) Delegationen von Teilzonen. Darf keinen NS-Eintrag für DNS-Server enthalten, es sei denn die Teilzone befindet sich ebenfalls auf diesem Server.

 

- Hier habe ich bisher nichts probiert, weil ich nicht weiß, wo ich anfangen soll zu suchen.

- Hinzukommt, nslookup kann ich nicht verwenden, weil wie hier zu lesen: Using NSlookup.exe

ich keine Reverse Lookupzone auf dem Server habe und ich nicht weiß, ob ich was am Netzwerk kaputt mache, wenn ich sie einrichte.

 

Ihr seht, ich bin sehr daran interessiert, diese Probleme selber zu lösen, sonst lernt man es nicht. Aber so langsam wird's schwer und ich muss doch mal ein paar Profis hier fragen.

 

Gruß ans Board,

 

-nin

[weg5st0 10]

Eine Reverse Lookup-Zone kannst du problemlos einrichten. Das birgt keine Gefahr.

 

Ist der DNS auch dein DC? Du solltest mal einen ipconfig /all des DC posten.

[lefg 276]

Der DNS-Server darf kein Paket an sich selbst senden. Diese Situation weist auf einen möglichen Konfigurationsfehler hin.

Solch ein Problem ist mir neulich auch begegnet, da war an einem DNS eine Weiterleitung an sich selbst eingetragen.

 

Ich nehme mal an, die Registerkarte Weiterleitungen wird bekannt sein oder auffindbar.

 

Ein korrekt konfigurierter DNS in einem LAN braucht einen Eintrag in Weiterleitungen nur in besonderen Fällen, z.B. falls für das LAN ein übergeordnetes Unternehmensnetzwerk existiert. Einzelheiten dazu spare ich mir (erstmal).

[-nin 11]

Hallo weg5st0,

 

ja, der DNS ist auch der Domain-Controller. Wir haben auch noch einen zweiten Domaincontroller, diese replizieren die Einstellungen untereinander.

 

Ich bin halt wegen den DNS-Geschichten oder auch was AD angeht, obwohl ich da mittlerweile recht braun bin :D äußerst vorsichtig, weil auf unserem Domaincontroller/DNS-Server die DBs unserers ERP-Systems laufen.

 

Der Gedanke daran ist mir ein Graus. Wenn die Kiste nämlich ausfällt, steht auch unser ERP-System und das ist nicht mal eben so wieder einzurichten, da muss der Service für rauskommen.

 

Gruß, -nin

[-nin 11]

Solch ein Problem ist mir neulich auch begegnet, da war an einem DNS eine Weiterleitung an sich selbst eingetragen.

 

Ich nehme mal an, die Registerkarte Weiterleitungen wird bekannt sein oder auffindbar.

 

Ein korrekt konfigurierter DNS in einem LAN braucht einen Eintrag in Weiterleitungen nur in besonderen Fällen, z.B. falls für das LAN ein übergeordnetes Unternehmensnetzwerk existiert. Einzelheiten dazu spare ich mir (erstmal).

 

Hallo lefg,

ich habe mir im DNS mal die Weiterleitungsliste angesehen.

Unser DNS-Server (Server2) hat in den Weiterleitungen zwar Angaben stehen, jedoch nicht die eigene und auch nicht die IP-Adresse des zweiten DNS-Servers.

 

Der zweite DNS-Server (Server5) hat hingegen die IP-Adresse von Server1 eingetragen. mehr nicht. Soll ich den Eintrag mal entfernen?

[lefg 276]

Beschreibe doch das Netz mal etwas genauer!

 

Ist es ein einfache LAN in einem Standort?

 

Gibt es einen oder mehrere DCs?

 

Ist der oder die DNS auf den DC(s) oder gibt es extra DNS?

 

Oder handelt es sich um ein untergeordnetes Netz, eine untergeordnete Struktur?

 

Bist du verantwortlich für das Netz oder existiert da noch jemand?

[weg5st0 10]

Wichtig ist, daß beide DC sich als primären DNS bei einer Maschine anmelden. Also beide DCS bspw. bei 192.168.254.2.

[-nin 11]

Also, ich bin verantwortlicher für das Netzwerk.

Es gibt zwei DCs, auf denen das AD und DNS läuft.

Server1 - MSSQL-Server für's CAQ

Server2 - DC enthält auch die Oracle DBs für's ERP

Server3 - Tobit - E-Mail und auch Druckerserver

Server5 - Fileserver uns zweiter DC

 

Nur eine Firma - ein Standort, mit ca. 40 Computern.

IP-Bereich: 192.168.254.x

Subnet: 255.255.255.0

 

VPN-Zugang - der wird aber von unserem Internetdienstanbieter über unsere Firewall gemanaged. Habe ich nichts mit am Hut :)

 

Nachtrag:Also beide DCs haben als primären DNS in den TCP/IP-Einstellungen des NIC den Server2 eingetragen, wohingegen Server2 allerdings nicht seine IP-Adresse, sondern den localhost also 127.0.0.1 und als alternativen DNS den Server5 eingetragen hat.

 

Ich hoffe, dass sind so die Informationen, die weiterhelfen.

[lefg 276]

Soll ich den Eintrag mal entfernen?

Ich frage nochmals nach Zuständigkeit, Verantwortlichkeit.

 

Bei der Geschichte sollte man schon Wissen, was man macht. Auch ist die Frage nach den den Konsequenzen zu stellen. Was geschieht im Extremfall? Wird die Produktion lahmgelegt oder betrifft es nur den EDV-Raum einer Schule.

 

Du scheinst über keine Literatur zum Thema 2k3-Domäne, DNS usw. zu verfügen. Ich möchte dir Mark Minasi und Eric Tierling empfehlen. Weiter gibt es bei MS das Technet und Knowledgebase.

 

Beschreibe mir doch bitte mal das netz, die Struktur, die komponenten! Dann kann ich das wohl besser beurteilen.

 

Nehmen wir mal an eine einfaches Netz mit einem Server, eine Domäne, ein AD, darauf ein DNS mit einer Foreward Lookupzone. Der Typ der Zone ist AD-Integriert.

Der bevorzugende DNS-Eintrag des Server zeigt dann auf sich selbst, die der Clients zeigen auch darauf. Die Aktualisierung sollte automatisch sein, die Clients tragen sich selbst ein.

 

Ich möchte hier jetzt nicht alle Einzelheiten deklinieren.

 

Um helfen zu können, wären doch einige Details wohl hilfreich.

[lefg 276]

Der Server 2 ist also der 1.DC.

 

 

Ist er auch der 1.DNS? Zeigt der DNS-Eintrag des Servers auf sich selbst, zeigen die Einträge der Clients darauf? Ist die Zone AD-Integriert? Können sich die Clients eintragen?

[Lucyyyyyy 10]

hi du...

 

ich denke mal, dass der DNS einer der wenigen dienste im netzwerk ist, vor dem du wirklich keine angst haben brauchst und sollst.

 

der dienst mappt dir doch nur die namen in IP Adressen ( forward - lookups) und umgekehrt IP adressen in Namen ( Reverse Lookups )

 

rein theoretisch kann man sich im DNS so richtig austoben, A-Records (Forward) und PTR-Records (Reverse) vergeben. editieren und löschen.

Falsche Einträge lassen sich leicht korrigieren und zur laufzeit erneueren und ersetzen.

 

eine besonderheit gibt es natürlich im win AD, der spezielle einträge in einem DNS benötigt.

 

mit den windows support tools gibt es kleine consolentools die dir nutzbar machen solltest.

netdiag

 

netdiag /?

netdiag /test:dns

netdiag /fix (einsetzen wenn der test:dns nicht erfolgreich verläuft)

 

dcdiag /?

 

der windows DNS ist eigentlich ein DDNS Dymaischer DNS, der die aktualisierung der Zonen dynamisch erlaubt, d.h. alle clients können die zonen mit ihren daten atualisiern, nur muss man dem DDNS das expliziet sagen, das clients das dürfen.

 

mit

ipconfig /flushdns

ipconfig /registerdns

 

machst du eigentlich nichts anderes als zu sagen, das der client seine einträge aus dem DDNS entfernen soll und neu einträgt/registriert (aktualisiert)

 

...und genaus das dürfen sie laut deiner DNS server config nicht --- also dein fehler mit der fehlgeschlagenen aktualisierung / update der DNS zonen.

nur wenige administratoren wollen das auch, das clients in ihrem DNS rumwuseln...

 

die roten kreuze in gemappten laufwerken sind glaub ich auch normal, weil inaktive verbindungen nach 15 min? getrennt werden, ...ein doppelklick auf diese rotgekreuzten laufwerke sollten das erneute verbinden initieren. dieses verhalten ist soweit ich weiss laut MS so gewollt, man kann dieses aber in der registry ändern.

 

eine gesicherte aktualisierung heisst, das über spezielle schlüssel eine gesicherte aktualisierung erfolgen kann, z.b. nur Domain-clients ...alle anderen clients dürfen den DNS nicht updaten.

 

mit weiterleitungen und fehlerhaften weiterleitungen sollte dein problem eigentlich nichts zu tun haben.

 

in meinem netzwerk hat z.b. nur der DHCP server den key um den DNS updaten zu können, ich untersage es meinen clients den DNS updaten zu dürfen, ...aber das kann jeder für sich entscheiden.

 

mfg

[-nin 11]

Ich frage nochmals nach Zuständigkeit, Verantwortlichkeit.

 

Bei der Geschichte sollte man schon Wissen, was man macht. Auch ist die Frage nach den den Konsequenzen zu stellen. Was geschieht im Extremfall? Wird die Produktion lahmgelegt oder betrifft es nur den EDV-Raum einer Schule.

 

Du scheinst über keine Literatur zum Thema 2k3-Domäne, DNS usw. zu verfügen. Ich möchte dir Mark Minasi und Eric Tierling empfehlen. Weiter gibt es bei MS das Technet und Knowledgebase.

 

Beschreibe mir doch bitte mal das netz, die Struktur, die komponenten! Dann kann ich das wohl besser beurteilen.

 

Nehmen wir mal an eine einfaches Netz mit einem Server, eine Domäne, ein AD, darauf ein DNS mit einer Foreward Lookupzone. Der Typ der Zone ist AD-Integriert.

Der bevorzugende DNS-Eintrag des Server zeigt dann auf sich selbst, die der Clients zeigen auch darauf. Die Aktualisierung sollte automatisch sein, die Clients tragen sich selbst ein.

 

Ich möchte hier jetzt nicht alle Einzelheiten deklinieren.

 

Um helfen zu können, wären doch einige Details wohl hilfreich.

 

Das mit der werde ich auf jeden Fall ins Auge fassen. Ich besitze schon einige Bücher dazu, aber die sind so kompliziert geschrieben, dass ich bald aufgegeben habe, weil die sehr ins TCP/IP-Detail gegangen sind und sich dann zur DNS aufgebaut haben.

 

Jetzt muss ich doch mal **** fragen, woran erkenne ich, dass der Typ der Zone im AD-Integriert ist?

 

- Wir haben eine Domäne (amonse.loc)

- Zwei Server mit AD. Ändere ich auf dem einen etwas, passiert das auch auf dem anderen.

- Auf beiden ist DNS installiert.

- Die Clients tragen sich selbst ein? Wenn ich einen neuen PC in die Domäne mit aufnehme, wird das Computerkonto im AD erzeugt und in der DNS unter der Forward-Lookupzone unter amonse.loc ein neuer Host-Eintrag mit Computername und dessen IP-Adresse erstellt.

[-nin 11]

Der Server 2 ist also der 1.DC.

Ja, ist er. Ich habe dort viel mehr Möglichkeiten Einstellungen zu machen, als am Server5 im DNS.

 

Ist er auch der 1.DNS? Zeigt der DNS-Eintrag des Servers auf sich selbst,

Der hat wie schon gesagt, im TCP/IP des NIC die 127.0.0.1 eingetragen.

 

zeigen die Einträge der Clients darauf?

Die Clients werden im TCP/IP von mir so konfiguriert:

prim. DNS: 192.168.254.2 (Server2)

alt. DNS: 192.168.254.5 (Server5)

Ist die Zone AD-Integriert?

Was heißt das? Woran erkenne ich dies.

Können sich die Clients eintragen?

Ja, können sie, wenn ich einen PC in die Domäne aufnehme, erscheint das Computerkonto und ein Host-Eintrag in der Forward-Lookupzone unter der Domäne amonse.loc.

[lefg 276]

Jetzt muss ich doch mal **** fragen, woran erkenne ich, dass der Typ der Zone im AD-Integriert ist?

Es gibt keine solche Fragen, manchmal solche Antworten.

 

In den Eigenschaften der Zone, auf der Karte Allgemein.

 

Deine Beschreibung sieht nach meinem Dafürhalten gut aus.

 

Ich würde wohl die Geschichte mit der Weiterleitung verfolgen und diese rausnehmen, sie macht nämlich keinen Sinn. Wozu sollte sie gut sein.

 

Was mich vorsichtig sein lässt, ist z.B. die DB-Geschichte. Man weiss ja nicht, was wurde dort etwas im Zusammenhang mit dem zweiten DNS konfiguriert, irrigerweise.

[-nin 11]

ja, da steht Typ: Active Directory integriert.

 

Wo meinst Du denn jetzt mit den Weiterleitungen?

Also ich habe grade mal nachgesehen, die Weiterleitungen, die in der Zone auf Server2 eingetragen sind, sind DNS-Server von unserem ISP. Die sollte ich glaube ich besser nicht entfernen.

 

Mehr steht dort auch erstmal nicht drin. Bleibt jetzt noch Server5, wo inder Weiterleitung

die IP-Adresse von Server2 steht.