4
Falschen DNS Eintrag per GPO gemacht, nun finden Clients Server nicht mehr
Bestand:
- Server 2003 mit Exchange und installiertem Blackberry Server,
- 12 Cleint PCs, alle mit WinXP & Outlook
- ein paar Drucker/Kopierer sind ebenfals im Netzwerk
- Classe B Netzwerk (eine Gemeinde), KISA Netzwerk
- Server und Client PCs wurde vo ca. 4 Monaten komplet neu aufgestellt (Installiert)
- Clients nutzen Proxyeinstellungen vom Server (wird über die GPO Übermittelt), es gibt also einen externen Proxyserver für das Internet
- 0,5 MBit/s KDN Internetleitung über Cisco Router
- Alle Clients haben eine Statische IP adresse, fest eingetragenen GW (ist der Router), und einen fest eingetragenen DNS (der Server)
- die Externen DNS Adressen sind auf dem Server im DNS bei der Weiterleitung eingetragen
- Client PCs sind in Gruppen aufgeteilt (Abteilungen), eine abfrage wird mit dem tool "ifmember.exe" gemacht um entsprechende Laufwerke zu mappen
Hallo,
es gibt mal wieder einen echt kniffligen Fall für euch, wo wir uns schon den Kopf daran zerbrechen.
Es lief einige Monate alles bestens bis auf das die User sich beklagten das Internetseiten sich so langsam aufbauen, vor allem Bilder.
Schließlich brachte die KDN den Tip, bei jedem Client PC die externen DNS Serveradressen ebenfals einzutragen, da es wohl nicht reicht einerseits nur den Proxy in den Interneteigenschaften stehen zu haben, und andernseits es zu verzögerungen kommen kann, wenn die Clients den Server nach einer Webadresse fragen, und dieser wiederrum durch seine in der Weiterleitung stehenden nach draußen eine anfrage stellt.
Getestet wurde es an einem PC, neben der Primären DNS Adresse (Was der Hauseigene W2k03 Server ist) die beiden externen DSN Server Adressen ebenfals mit einzutragen, und siehe da - der Seitenaufbau geht deutlich schneller, auch der Bilderaufbau.
Wir erhilten den Tip von der KDN, die DNS Server adressen ebenfals über die GPO auf die Client PCs zu übermitteln, damit man nicht alle PCs anfassen muss.
Gesagt getan, der Eintrag in den Gruppenrichtlinieneditor war schnell gefunden (Comp.Konfig.->Admin. Vorlagen->Netzwerk->DNS-Client->Punkt DNS-Server) Nun haben wir da ausschließlich nur die beiden Externen DNS Adressen eingetragen, per Semikolon getrennt. Da haben wir aber NICHT den Hauseigenen AD Server mit eingetragen, sondern wirklich nur die beiden Externen.
Zusätzlich noch den Punkt Dynamisches Update unter DNS-Client aktiviert.
Die neue Richtlinie haben wir aktualisieren lassen (gpupdate /force)
Anschließend alle Client PCs eingeschalten. Beim ersten mal ging alles gut, Internet ging schnell, es gab keine Probleme. Aber am Zweiten tag, als die PCs nochmal sich am Server anmelden wollten, gabs das Chaos. Die Rechner brauchten ewig lange bis die sich angemeldet haben, es waren keine Gruppenlaufwerke mehr da und im Ereignissprotokoll der PCs stand nur noch, das der AD Server nicht gefunden werden konnte.
ein nslookup zeigte rasch, das die PCs statt auf den Hauseigenen Server nachzuschauen, nun auf die Externen Server nachschauen wollen, der natürlich die Domäne und die Nutzer nicht kennt -.-
Das ist ja ein bekanntes problem in einer Domäne, wenn der Hauseigene AD Server NICHT als Primärer DNS eingetragen ist. normalerweise kann man den fehler schnell beheben indem man in den netzwerkeinstellungen den AD Server wieder als Primären DNS Server einträgt.
Aber in diesem falle bringt das leider nichts, da die PCs die adressen von einer Gruppenrichtline zugeordnet bekommen haben, welche eine höhere priorität haben, als Händisch eingetragene Adressen am PC. Man kann also an den PCs einstellen und eintragen was man will, er ignoriert die unter Netzwerkadapter eingestellten DNS Adressen welche man Händisch eingetragen hat, weil der PC eben einen höhergeordneten Befehl hat von der GPO.
Problem ist aber, selbst wenn wir in der GPO unter DNS-Server den AD Server als erste Adresse eintragen, so können die Client PCs die neuen Einstellungen nicht übernehmen, da die eben den Server nicht mehr finden, also es auch zu keiner Gruppenrichtlinen Aktualisierung auf den Client PCs kommen kann.
Tja, da haben wir den Salat, nix funktioniert mehr. Wir haben schließlich eins gemacht, das Hauseigene Netzwerk von der Außenwelt getrennt, und dem Server als zweite Netzwerkadresse die erxte Externe DNS adresse zugeteilt, wonach die Client PCs ja laut nslookup suchen.
Siehe da, die PCs können sich wieder anmelden und die Gruppenlaufwerke mappen sich auch wieder. Auch haben die PCs die neue Gruppenrichtline angenommen, suchen jetzt wieder auf der korekkten IP adresse nach ihrem AD Server.
Also die zweite IP Adresse vom AD Server rausgenommen, und die Externe Leitung wieder angeklemmt.
Die PCs melden sich brav weiter wie gewwohnt schnell an, und die Gruppenlaufwerke sind auch da, also eigentlich alles bestens.
Nur ein problem gibt es immernoch. Nach einiger zeit wenn sich die Client PCs angemeldet haben, verlieren diese ihre Gruppenlaufwerke plötzlich, bzw haben keinen zugriff mehr darauf.
Auch wenn man ein nslookup macht, sieht man, das er zwar auf der richtigen IP adresse sucht, aber als Standartservername etwas falsches dasteht (immernoch ein externer Kisa DNS Server als Servername). Er meldet im nslookup das der Servername nicht ermittelt werden konnte.
Tja, und da liegt das Problem, wie bekommen wir das wieder hin? das die Client PCs den hauseigenen AD Server richtig wiederfinden?
es gibt mal wieder einen echt kniffligen Fall für euch, wo wir uns schon den Kopf daran zerbrechen.
Es lief einige Monate alles bestens bis auf das die User sich beklagten das Internetseiten sich so langsam aufbauen, vor allem Bilder.
Schließlich brachte die KDN den Tip, bei jedem Client PC die externen DNS Serveradressen ebenfals einzutragen, da es wohl nicht reicht einerseits nur den Proxy in den Interneteigenschaften stehen zu haben, und andernseits es zu verzögerungen kommen kann, wenn die Clients den Server nach einer Webadresse fragen, und dieser wiederrum durch seine in der Weiterleitung stehenden nach draußen eine anfrage stellt.
Getestet wurde es an einem PC, neben der Primären DNS Adresse (Was der Hauseigene W2k03 Server ist) die beiden externen DSN Server Adressen ebenfals mit einzutragen, und siehe da - der Seitenaufbau geht deutlich schneller, auch der Bilderaufbau.
Wir erhilten den Tip von der KDN, die DNS Server adressen ebenfals über die GPO auf die Client PCs zu übermitteln, damit man nicht alle PCs anfassen muss.
Gesagt getan, der Eintrag in den Gruppenrichtlinieneditor war schnell gefunden (Comp.Konfig.->Admin. Vorlagen->Netzwerk->DNS-Client->Punkt DNS-Server) Nun haben wir da ausschließlich nur die beiden Externen DNS Adressen eingetragen, per Semikolon getrennt. Da haben wir aber NICHT den Hauseigenen AD Server mit eingetragen, sondern wirklich nur die beiden Externen.
Zusätzlich noch den Punkt Dynamisches Update unter DNS-Client aktiviert.
Die neue Richtlinie haben wir aktualisieren lassen (gpupdate /force)
Anschließend alle Client PCs eingeschalten. Beim ersten mal ging alles gut, Internet ging schnell, es gab keine Probleme. Aber am Zweiten tag, als die PCs nochmal sich am Server anmelden wollten, gabs das Chaos. Die Rechner brauchten ewig lange bis die sich angemeldet haben, es waren keine Gruppenlaufwerke mehr da und im Ereignissprotokoll der PCs stand nur noch, das der AD Server nicht gefunden werden konnte.
ein nslookup zeigte rasch, das die PCs statt auf den Hauseigenen Server nachzuschauen, nun auf die Externen Server nachschauen wollen, der natürlich die Domäne und die Nutzer nicht kennt -.-
Das ist ja ein bekanntes problem in einer Domäne, wenn der Hauseigene AD Server NICHT als Primärer DNS eingetragen ist. normalerweise kann man den fehler schnell beheben indem man in den netzwerkeinstellungen den AD Server wieder als Primären DNS Server einträgt.
Aber in diesem falle bringt das leider nichts, da die PCs die adressen von einer Gruppenrichtline zugeordnet bekommen haben, welche eine höhere priorität haben, als Händisch eingetragene Adressen am PC. Man kann also an den PCs einstellen und eintragen was man will, er ignoriert die unter Netzwerkadapter eingestellten DNS Adressen welche man Händisch eingetragen hat, weil der PC eben einen höhergeordneten Befehl hat von der GPO.
Problem ist aber, selbst wenn wir in der GPO unter DNS-Server den AD Server als erste Adresse eintragen, so können die Client PCs die neuen Einstellungen nicht übernehmen, da die eben den Server nicht mehr finden, also es auch zu keiner Gruppenrichtlinen Aktualisierung auf den Client PCs kommen kann.
Tja, da haben wir den Salat, nix funktioniert mehr. Wir haben schließlich eins gemacht, das Hauseigene Netzwerk von der Außenwelt getrennt, und dem Server als zweite Netzwerkadresse die erxte Externe DNS adresse zugeteilt, wonach die Client PCs ja laut nslookup suchen.
Siehe da, die PCs können sich wieder anmelden und die Gruppenlaufwerke mappen sich auch wieder. Auch haben die PCs die neue Gruppenrichtline angenommen, suchen jetzt wieder auf der korekkten IP adresse nach ihrem AD Server.
Also die zweite IP Adresse vom AD Server rausgenommen, und die Externe Leitung wieder angeklemmt.
Die PCs melden sich brav weiter wie gewwohnt schnell an, und die Gruppenlaufwerke sind auch da, also eigentlich alles bestens.
Nur ein problem gibt es immernoch. Nach einiger zeit wenn sich die Client PCs angemeldet haben, verlieren diese ihre Gruppenlaufwerke plötzlich, bzw haben keinen zugriff mehr darauf.
Auch wenn man ein nslookup macht, sieht man, das er zwar auf der richtigen IP adresse sucht, aber als Standartservername etwas falsches dasteht (immernoch ein externer Kisa DNS Server als Servername). Er meldet im nslookup das der Servername nicht ermittelt werden konnte.
Tja, und da liegt das Problem, wie bekommen wir das wieder hin? das die Client PCs den hauseigenen AD Server richtig wiederfinden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123640
Url: https://administrator.de/contentid/123640
Printed on: April 18, 2024 at 12:04 o'clock
4 Comments
Latest comment
Hi,
bitte korrigiert mich wen ich falsch liege, aber kann es sein das du die interne und externe dns zu zusammengewürfelt hast?? In der Regel ist der Ad Server für die erst Dns verantortlich. und was Dein DNS server nicht auf lösen kann, soll er die externe Dns (Provider) fragen. Wenn die Clients jetzt in der Externen DNS nachfragt, wo ist der AD Server, antwortet die Externe DNS " Keine Ahnung!"
Gruß
Bernie2909
bitte korrigiert mich wen ich falsch liege, aber kann es sein das du die interne und externe dns zu zusammengewürfelt hast?? In der Regel ist der Ad Server für die erst Dns verantortlich. und was Dein DNS server nicht auf lösen kann, soll er die externe Dns (Provider) fragen. Wenn die Clients jetzt in der Externen DNS nachfragt, wo ist der AD Server, antwortet die Externe DNS " Keine Ahnung!"
Gruß
Bernie2909
Ja so sollte es sein, ist richtig. Genau so haben wir das auch am anfang eingestellt, das ging auch, aber zu langsam. Daher hat die KDN (oder Kisa, weis ich nicht genau wer von den beiden, verwechsle das immer *g*) gesagt, das man die externen DNS Server trotz Proxy direkt auf den Client PCs eintragen solle, damit es schneller geht.
wie gesagt, das haben wir anfangs an einem PC ausprobiert, und tatsächlich ging es um einiges schneller. die iNet leitung da ist eben sehr langsam, das ist Kein DSL...
wie gesagt, das haben wir anfangs an einem PC ausprobiert, und tatsächlich ging es um einiges schneller. die iNet leitung da ist eben sehr langsam, das ist Kein DSL...
Hallo,
probiere mal Folgendes..
Lade dir PStools von Sysinternals runter (Freeware)..Mit PSexec (im Download enthalten) kannst du dann remote auf den Rechnern die DNS Einträge mittels netsh ändern. Wenn du einen Batch schreibst, kannst du das voll automatisieren mit psexec.
Der Netsh Batch sollte dann folgerndermaßen aussehen :
@echo OFF
echo * BATCH ZUR AKTUALISIERUNG DER DNS EINTRAEGE *
netsh interface ip delete dns "LAN-Verbindung" all
echo * ERSTEN DNS SERVER HINZUFUEGEN *
netsh interface ip add dns "LAN-Verbindung" 192.168.x.x (hier IP Adresse deines INTERNEN DNS Servers eintragen)
echo * ZWEITEN DNS SERVER HINZUFUEGEN *
netsh interface ip add dns "LAN-Verbindung" 192.168.x.x (zweiten DNS Server eintragen)
"LAN-Verbindung" ist der Name eurer Lan-Verbindung, so wie sie in den Netzwerkeinstellungen angezeigt wird
PS : Mit dem Tool EZ-Execute (gehört zu PSexec, muss aber einzeln runtergeladen werden) kannst du komfortabel mit einer GUI arbeiten
http://web.archive.org/web/20071017035444/http://www.penguinbyte.com/so ...
Viel Glück
Grüße
exellent
probiere mal Folgendes..
Lade dir PStools von Sysinternals runter (Freeware)..Mit PSexec (im Download enthalten) kannst du dann remote auf den Rechnern die DNS Einträge mittels netsh ändern. Wenn du einen Batch schreibst, kannst du das voll automatisieren mit psexec.
Der Netsh Batch sollte dann folgerndermaßen aussehen :
@echo OFF
echo * BATCH ZUR AKTUALISIERUNG DER DNS EINTRAEGE *
netsh interface ip delete dns "LAN-Verbindung" all
echo * ERSTEN DNS SERVER HINZUFUEGEN *
netsh interface ip add dns "LAN-Verbindung" 192.168.x.x (hier IP Adresse deines INTERNEN DNS Servers eintragen)
echo * ZWEITEN DNS SERVER HINZUFUEGEN *
netsh interface ip add dns "LAN-Verbindung" 192.168.x.x (zweiten DNS Server eintragen)
"LAN-Verbindung" ist der Name eurer Lan-Verbindung, so wie sie in den Netzwerkeinstellungen angezeigt wird
PS : Mit dem Tool EZ-Execute (gehört zu PSexec, muss aber einzeln runtergeladen werden) kannst du komfortabel mit einer GUI arbeiten
http://web.archive.org/web/20071017035444/http://www.penguinbyte.com/so ...
Viel Glück
Grüße
exellent
nimmt er leider nicht an 
also er macht zwar etwas, sagt auch das es Funktioniert hat, aber dennoch scheinen die Client PCs weiterhin auf die DNS einstellung die über GPO übermittelt worden, zurückzugreifen.
Auch wenn wir am Server selbst ein nslookup machen, findet er selbst sich nicht, als standartserver steht nach wie vor ein Kisaserver drin, aber als IP steht die IP vom Server drin *blub*
also er macht zwar etwas, sagt auch das es Funktioniert hat, aber dennoch scheinen die Client PCs weiterhin auf die DNS einstellung die über GPO übermittelt worden, zurückzugreifen.Auch wenn wir am Server selbst ein nslookup machen, findet er selbst sich nicht, als standartserver steht nach wie vor ein Kisaserver drin, aber als IP steht die IP vom Server drin *blub*
