45455
May 07, 2018, updated at 20:23:43 (UTC)
1847
9
0
DNS-Port DC nicht erreichbar
Hallo,
ich habe ein etwas seltsames Problem in einem Netzwerk, das über mehrere Standorte per VPN verbunden ist.
Es sind insgesamt 4 Standorte, an einem sind 2 DCs, an zwei weiteren jeweils ein RODC, ein neuer Standort noch ohne DC
jeweils eigene Subnetze 192.168.x.0/24, Routing funktioniert, DNS-Auflösungen funktionieren, Ping, Netzfreigaben, alles prima in allen Richtungen.
Das neue Subnetz ohne DC ist in die Subnetze unter AD-Standorte und Domänen aufgenommen und als ReverseZone im DNS angelegt.
Das Phänomen: Von dem neuen Standort wird der Port 53 der beiden DCs nicht erreicht, jedoch der Port 53 der beiden RODCs. Alle anderen Ports gehen überall.
Umgekehrt werden von den RODC-Standorten aber die DCs Und sie gegenseitig auf Port 53 erreicht.
Auf dem Weg kann also kein Block sein.
Es sieht daher so aus, als würden die beiden DCs schlicht auf Anfragen auf Port 53 nur nicht aus dem neuen Subnetz antworten.
Ich erkenne aber gerade beim besten Willen keinen Grund dafür.
Ideen?
Gruß
kai
ich habe ein etwas seltsames Problem in einem Netzwerk, das über mehrere Standorte per VPN verbunden ist.
Es sind insgesamt 4 Standorte, an einem sind 2 DCs, an zwei weiteren jeweils ein RODC, ein neuer Standort noch ohne DC
jeweils eigene Subnetze 192.168.x.0/24, Routing funktioniert, DNS-Auflösungen funktionieren, Ping, Netzfreigaben, alles prima in allen Richtungen.
Das neue Subnetz ohne DC ist in die Subnetze unter AD-Standorte und Domänen aufgenommen und als ReverseZone im DNS angelegt.
Das Phänomen: Von dem neuen Standort wird der Port 53 der beiden DCs nicht erreicht, jedoch der Port 53 der beiden RODCs. Alle anderen Ports gehen überall.
Umgekehrt werden von den RODC-Standorten aber die DCs Und sie gegenseitig auf Port 53 erreicht.
Auf dem Weg kann also kein Block sein.
Es sieht daher so aus, als würden die beiden DCs schlicht auf Anfragen auf Port 53 nur nicht aus dem neuen Subnetz antworten.
Ich erkenne aber gerade beim besten Willen keinen Grund dafür.
Ideen?
Gruß
kai
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 373281
Url: https://administrator.de/contentid/373281
Printed on: April 27, 2024 at 04:04 o'clock
9 Comments
Latest comment
Moin,
sicher das die main DCs die neue Zone ebenfalls kennen?
Gruß
Spirit
sicher das die main DCs die neue Zone ebenfalls kennen?
Gruß
Spirit
Was sagt denn die Firewall?
Logging scharf geschalten?
VG
Logging scharf geschalten?
VG
Naja, auf denen ist sie angelegt, in der AD und im DNS. Wie soll ich die denen noch kenntlich machen?
Es gibt keine Blocks. Wäre auch noch seltsamer. Auf den VPNs zwischen den Standorten ist eine Any-Any-Regel aktiv.
Und in allen Richtungen die DNS-Ports erreichbar (alle Router/Firewalls, alle RODCs), nur genau diese eben bei den beiden DCs ausschliesslich nicht vom neuen Sub-Netz.
Ich denke nicht, dass das Problem in der Firewall liegt.
Und in allen Richtungen die DNS-Ports erreichbar (alle Router/Firewalls, alle RODCs), nur genau diese eben bei den beiden DCs ausschliesslich nicht vom neuen Sub-Netz.
Ich denke nicht, dass das Problem in der Firewall liegt.
Zudem: Die Namensauflösung in die Domäne funktioniert ja, also antworten die DCs ja ganz offensichtlich auf Anfragen, mehr aber nicht.
Der Port erscheint geschlossen, eine Domänenaufnahme scheitert an DC nicht erreichbar
Der Port erscheint geschlossen, eine Domänenaufnahme scheitert an DC nicht erreichbar
Ich kenne deine Firewalls nicht, allerdings solltest du eigentlich wissen, wie du Netzwerkverkehr bzw versuchte Zugriffe darauf kenntlich machst.
So, Problem gefunden.
Der Router des DC-Standortes reagiert IMHO buggy: Der DNS-Block fürs WAN blockte auch DNS-Abfragen in den IPsec-Tunneln, nicht aber auf SSL-Tunneln. Was für mich grad keinen echten Sinn macht.
Die Standard-Blockregel wurde jetzt so verändert, dass sie Anfragen nicht All-WAN-In zu Any blockt, sondern nur All-WAN-In zu All-WAN-Out.
Dann läufts auch im IPsec-Tunnel.
Der Router des DC-Standortes reagiert IMHO buggy: Der DNS-Block fürs WAN blockte auch DNS-Abfragen in den IPsec-Tunneln, nicht aber auf SSL-Tunneln. Was für mich grad keinen echten Sinn macht.
Die Standard-Blockregel wurde jetzt so verändert, dass sie Anfragen nicht All-WAN-In zu Any blockt, sondern nur All-WAN-In zu All-WAN-Out.
Dann läufts auch im IPsec-Tunnel.
Läuft doch, also war die Richtung zu den DCs nicht falsch.
Also Final: Irgendwie ein Firewallproblem.
Gern geschehen.
Gern geschehen.