7
Probleme bei Namensauflösung über Samba 4.2.7 - PDC
Hallo!
ich betreibe eine kleine Windows-AD-Domäne mit einem PDC. Dieser ist gleichzeitig der Nameserver.
Nun haben die Clients immer mal wieder temporär Probleme, Namen aufzulösen; dabei ist es egal, ob dies lokale Rechnernamen oder Internet-Domains sind. D.h. kurzzeitig geht dann bspw. "www.google.de" nicht. Beim zweiten Veruch geht's dann, beim dritten dann ggf. schon wieder nicht.
Hat da jemand Tips zu Eingrenzung der Fehlerursache? Wie kann ich denn solchen Fehlern systematisch mit Bordmitteln auf den Grund gehen?
Ich würde nur gern verstehen wollen, was da passiert.
ich betreibe eine kleine Windows-AD-Domäne mit einem PDC. Dieser ist gleichzeitig der Nameserver.
Nun haben die Clients immer mal wieder temporär Probleme, Namen aufzulösen; dabei ist es egal, ob dies lokale Rechnernamen oder Internet-Domains sind. D.h. kurzzeitig geht dann bspw. "www.google.de" nicht. Beim zweiten Veruch geht's dann, beim dritten dann ggf. schon wieder nicht.
Hat da jemand Tips zu Eingrenzung der Fehlerursache? Wie kann ich denn solchen Fehlern systematisch mit Bordmitteln auf den Grund gehen?
Ich würde nur gern verstehen wollen, was da passiert.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292579
Url: https://administrator.de/contentid/292579
Printed on: April 19, 2024 at 16:04 o'clock
7 Comments
Latest comment
Hi,
erste Anlaufstelle wäre das Programm "dcdiag" (Domain Controller Diagnostic) auf dem Domänencontroller.
Am besten öffnest du auf dem Server cmd und führst "dcdiag /?" aus um dir mehr Infos anzeigen zu lassen.
Das ist der KB Artikel von Microsoft
Das ist der KB Artikel von Microsoft (auf Deutsch, etwas älter).
Mit
kannst du prüfen ob der DNS Dienst korrekt konfiguriert ist.
Ohne Parameter führt der alle Tests aus.
Viele Grüße
pelzfrucht
erste Anlaufstelle wäre das Programm "dcdiag" (Domain Controller Diagnostic) auf dem Domänencontroller.
Am besten öffnest du auf dem Server cmd und führst "dcdiag /?" aus um dir mehr Infos anzeigen zu lassen.
Das ist der KB Artikel von Microsoft
Das ist der KB Artikel von Microsoft (auf Deutsch, etwas älter).
Mit
dcdiag /test:DNS
kannst du prüfen ob der DNS Dienst korrekt konfiguriert ist.
Ohne Parameter führt der alle Tests aus.
Viele Grüße
pelzfrucht
Ja, ich hätte dazuschreiben sollen, dass das ein Samba AD-Controller ist.
Das dcdiag-Tool ist zwar im RSAT-Kit drin und kann daher auch remote ausgeführt werden, Samba unterstützt aber einiges nicht. Unter anderem deshalb scheitert bei DNS schon der Basic-Test an der fehlenden WMI-Unterstützung. Die weiteren DNS-Tests macht das Tool dann leider erst gar nicht (der Basic-Test lässt sich nicht überspringen).
Da ich aber so massive DNS-Probleme in den Samba-Mailinglisten nicht finde, denke ich, es ist (m)ein DNS-Setup Problem. Nur wie ich das - außer mühsam mit Wireshark - debuggen soll... keine Ahnung. Auf der Unix-Seite sehe ich solche Probleme übrigens auch nicht (die bei Samba aufgeführten Tests habe ich alle schon durch, sind aber auch nur 3 Befehle). Nur die Windows-Clients (Win 7 Professional) zicken.
Und der Witz ist: Bei meiner hauptamtlichen Arbeitsstelle (bei der KMU mit dem Samba-Server bin ich nur der Freizeit-Admin) hatten wir auch schon mal ein paar Tage so ziemlich die gleichen DNS/Windows-Probleme. Nur habe ich da auf die Admins nicht so den privaten Zugang...
Die Zeitsynchronisierung der Windows-Clients mit dem DC läuft über NTP und ist per GPO so eingestellt (nur weil ich mal läuten hören habe, dass DNS-Lookup und Kerberos-Auth bei Windows zusammenhängen).
Noch weitere Tipps? Oder Cross-Post in die Samba-Ecke?
Das dcdiag-Tool ist zwar im RSAT-Kit drin und kann daher auch remote ausgeführt werden, Samba unterstützt aber einiges nicht. Unter anderem deshalb scheitert bei DNS schon der Basic-Test an der fehlenden WMI-Unterstützung. Die weiteren DNS-Tests macht das Tool dann leider erst gar nicht (der Basic-Test lässt sich nicht überspringen).
Da ich aber so massive DNS-Probleme in den Samba-Mailinglisten nicht finde, denke ich, es ist (m)ein DNS-Setup Problem. Nur wie ich das - außer mühsam mit Wireshark - debuggen soll... keine Ahnung. Auf der Unix-Seite sehe ich solche Probleme übrigens auch nicht (die bei Samba aufgeführten Tests habe ich alle schon durch, sind aber auch nur 3 Befehle). Nur die Windows-Clients (Win 7 Professional) zicken.
Und der Witz ist: Bei meiner hauptamtlichen Arbeitsstelle (bei der KMU mit dem Samba-Server bin ich nur der Freizeit-Admin) hatten wir auch schon mal ein paar Tage so ziemlich die gleichen DNS/Windows-Probleme. Nur habe ich da auf die Admins nicht so den privaten Zugang...
Die Zeitsynchronisierung der Windows-Clients mit dem DC läuft über NTP und ist per GPO so eingestellt (nur weil ich mal läuten hören habe, dass DNS-Lookup und Kerberos-Auth bei Windows zusammenhängen).
Noch weitere Tipps? Oder Cross-Post in die Samba-Ecke?
Moin,
Wie sieht den deine DNS-Infrastruktur aus? Normalerweise ist bei den Client die IP-Adresse eines DNS-Servers entweder statisch oder via DHCP hinterlegt. Falls dieser die Anfrage auflösen kann gibt er die notwendigen Informationen zurück. Anderenfalls frägt er entweder die Stamm DNS-Server bzw. die manuell definierten Server.
Gruß,
Dani
Oder Cross-Post in die Samba-Ecke?
nicht notwendig... ich habe den Beitrag verschoben.Wie sieht den deine DNS-Infrastruktur aus? Normalerweise ist bei den Client die IP-Adresse eines DNS-Servers entweder statisch oder via DHCP hinterlegt. Falls dieser die Anfrage auflösen kann gibt er die notwendigen Informationen zurück. Anderenfalls frägt er entweder die Stamm DNS-Server bzw. die manuell definierten Server.
Die Zeitsynchronisierung der Windows-Clients mit dem DC läuft über NTP und ist per GPO so eingestellt (nur weil ich mal läuten hören habe, dass DNS-Lookup und Kerberos-Auth bei Windows zusammenhängen).
Datum und Zeit auch sync zwischen DC und Client und holt der DC seine Zeit aus dem Internet?Gruß,
Dani
Danke!
Wie sieht den deine DNS-Infrastruktur aus? Normalerweise ist bei den Client die IP-Adresse eines DNS-Servers entweder statisch oder via DHCP hinterlegt. Falls dieser die Anfrage auflösen kann gibt er die notwendigen Informationen zurück. Anderenfalls frägt er entweder die Stamm DNS-Server bzw. die manuell definierten Server.
Ist per DHCP (isc-dhcp-server):
cat /etc/dhcp/dhcpd.conf
# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;
# option definitions common to all supported networks...
option domain-name "example.loc";
# option domain-name-servers 192.168.1.1, 192.168.1.150;
option domain-name-servers 192.168.1.1;
option ntp-servers 192.168.1.1;
option netbios-node-type 8;
option netbios-name-servers 192.168.1.1;
option netbios-dd-server 192.168.1.1;
option ip-forwarding false;
option netbios code 180 = string;
option space MSFT;
option MSFT.disable-netbios-over-tcpip code 1 = unsigned integer 32;
option MSFT.release-dhcp-lease-on-shutdown code 2 = unsigned integer 32;
class "MSFT 5.0" {
match if option vendor-class-identifier = "MSFT 5.0";
option vendor-class-identifier "MSFT 5.0";
vendor-option-space MSFT;
# NBT ON = 1 / OFF = 2
option MSFT.disable-netbios-over-tcpip 2;
option MSFT.release-dhcp-lease-on-shutdown 1;
}
class "MSFT 98" {
match if option vendor-class-identifier = "MSFT 98";
option vendor-class-identifier "MSFT 98";
vendor-option-space MSFT;
option MSFT.disable-netbios-over-tcpip 2;
option MSFT.release-dhcp-lease-on-shutdown 1;
}
# default-lease-time 600;
# max-lease-time 7200;
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;Datum und Zeit auch sync zwischen DC und Client und holt der DC seine Zeit aus dem Internet?
Ja:
cat /etc/ntp.conf:
# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
# pick a different set every time it starts up. Please consider joining the
# pool: <http:{{comment_single_line_double_slash:0}}
server 0.debian.pool.ntp.org iburst
server 1.debian.pool.ntp.org iburst
server 2.debian.pool.ntp.org iburst
server 3.debian.pool.ntp.org iburst
# Samba 4 support
ntpsigndsocket /var/lib/samba/ntp_signd/
restrict default mssntp
Hm. Ich könnte bei
ja noch die 8.8.8.8 dazuschreiben?
Aber so ganz koscher wär das ja nicht...
Ach ich sehe gerade, der steht schon in der smb.conf (war mal ein verzweifelter Versuch). Die 192.168.1.150 ist der DSL-Router.
cat /etc/samba/smb.conf
option domain-name-servers 192.168.1.1; Aber so ganz koscher wär das ja nicht...
Ach ich sehe gerade, der steht schon in der smb.conf (war mal ein verzweifelter Versuch). Die 192.168.1.150 ist der DSL-Router.
cat /etc/samba/smb.conf
# Global parameters
[global]
workgroup = EXAMPLE
realm = example.loc
netbios name = EXAMPLE
server role = active directory domain controller
idmap_ldb:use rfc2307 = yes
# dns forwarder = 192.168.1.150
dns forwarder = 8.8.8.8
Moin,
Gruß,
Dani
ja noch die 8.8.8.8 dazuschreiben?
Nö, denn dein DNS-Server wird ein ein Forwarder haben. Welche Software setzt dafür ein? Ach ich sehe gerade, der steht schon in der smb.conf (war mal ein verzweifelter Versuch). Die 192.168.1.150 ist der DSL-Router.
Das ist kein Fehler, aber zum Ausschließen gerne so testen.Gruß,
Dani
Zitat von @Dani:
Nö, denn dein DNS-Server wird ein ein Forwarder haben. Welche Software setzt dafür ein?
Nö, denn dein DNS-Server wird ein ein Forwarder haben. Welche Software setzt dafür ein?
Nur Samba und dessen internes DNS (https://wiki.samba.org/index.php/Samba_Internal_DNS). Laut der Wiki-Page hat das Ding ein paar Einschränkungen, andererseits ist das seit Samba 4 der Default und ich habe ja tatsächlich kein komplexes Setup.
Beim Samba Wiki ist auch immer die Frage, wie aktuell das ganze ist, denn "Samba 4" reicht als Versionsbezeichnung schon lange nicht mehr aus, da hat sich zwischen 4.0, und 4.2 ja deutlich was getan (der erwähnte Bug 10153 ist bspw. schon als "Fixed" markiert).
