Verständnisproblem DNS auf DC

Guten Tag Zusammen,

ich habe ein kleines Verständnisproblem bezüglich unserer Testumgebung.
Wir haben einen 2012R2 DC laufen. Dieser DC ist ebenfalls DNS- und DHCP-Server.
Die Domain heißt dom01.test.net (wir haben eine funktionierende Top-Level-Domain).
D.h. der DC ist im LAN bekannt als dc1.dom01.test.net.
Am Testnetzwerk sitzt eine Sophos UTM als Firewall, Gateway und DNS Forwarder.
Auf dem DC ist utner "Weiterleitung" im DNS die Sophos eingetragen. Auflösen von Domains funktioniert auch wunderbar.
Nun haben wir die Sophos auch als Reverse Proxy eingerichtet. Auf der WAN-Schnittstelle lauscht der Reverse Proxy und leitet HTTP an einen internen Server.
Die Subdomain sub.test.net zeigt über den DNS des Domain Providers auf die öffentliche IP der Sophos. Im Reverse Proxy der Sophos ist sub.test.net als Alias eingetragen.
Von einem beliebigen Gerät außerhalb des Netzwerkes funktioniert alles wie erwartet. Unter sub.test.net ist der interne Webserver abrufbar.
Aus der Domäne heraus (dom01.test.net) wird sub.test.net allerdings gar nicht aufgelöst. Sollte eigentlich über die Sophos an den DNS des Providers gehen und auflöst werden, wie jede andere Domain.

Nun dachte ich mir, vielleicht ist das ja korrekt?
Eventuell sieht sich der DC DNS zuständig für die Top-Level-Domain (test.net).
Was mich nun sehr wundert, ist die Tatsache, dass ich Umgebungen kenne, in denen genau diese Konstellation ohne weitere Zonen im DC DNS funktioniert.
D.h. AD läuft unter standort1.firma.de und dennoch können Mitarbeiter auf firma.de oder webmail.firma.de.

Wo liegt mein Denkfehler?
Danke für eure Hilfe!

Viele Grüße
Jan

Please also mark the comments that contributed to the solution of the article

Content-Key: 338237

Url: https://administrator.de/contentid/338237

Printed on: April 24, 2024 at 23:04 o'clock

11 Comments

Latest comment

Hi,

Aus der Domäne heraus (dom01.test.net)

Was heißt das? Von Member dieser Domäne oder einfach nur von einem Client aus diesem Subnetz? Oder direkt vom DC?
Interessant ist eigentlich nur, welchen DNS-Server der Computer nutzt, von welchem aus Du versuchst, den Namen "sub.test.net" aufzulösen.

E.

Ich versuche es von einem Member.
Also ein PC, der den DC als DNS nutzt.

Viele Grüße
Jan

Was kommt denn, wenn Du an diesem PC mit NSLOOKUP den Namen "sub.test.net" auflösen willst?

Keine Antwort.
Also er löst nichts auf.

Viele Grüße
Jan

Keine Antwort? Von wem nicht?

Bei mir kommt dann sowas raus:

C:\Windows\system32>nslookup
Standardserver:  abc.xyz.local
Address:  192.168.0.193

> xxxxx.yyyyy.zzzz
Server:  abc.xyz.local
Address:  192.168.0.193

*** xxxxx.yyyyy.zzzz wurde von abc.xyz.local nicht gefunden: Non-existent domain.
>

Und bei Dir kommt "keine Antwort"? Aha.

Entschuldige die unpräzise Antwort.
Hier die Ausgabe vom DC aus.

Windows PowerShell
Copyright (C) 2014 Microsoft Corporation. Alle Rechte vorbehalten.

PS C:\Users\Administrator> nslookup
Standardserver:  localhost
Address:  127.0.0.1

> xx.xxx.xx
Server:  localhost
Address:  127.0.0.1

Nicht autorisierende Antwort:
Name:    xx.xxx.xx

So ne Nicht-Antwort bekomme ich, wenn ich es tatsächlich mit "sub.test.net" versuche. s.u. (google.de als Vergleich)

"127.0.0.1" suggeriert mir, dass Du es direkt am DC/DNS versucht hast?
Macht es einen Unterschied, wenn Du es tatsächlich vom Member-PC aus machst?

> sub.test.net
Server:  abc.xyz.local
Address:  192.168.0.193

Name:    sub.test.net

> www.google.de
Server:  abc.xyz.local
Address:  192.168.0.193

Nicht autorisierende Antwort:
Name:    www.google.de
Addresses:  2a00:1450:400e:800::2003
          62.214.62.56
          62.214.62.52
          62.214.62.54
          62.214.62.50
          62.214.62.55
          62.214.62.49
          62.214.62.53
          62.214.62.51
          62.214.62.48
          62.214.62.58
          62.214.62.59
          62.214.62.57

>

Genau, war der DC, auf dem Member-PC habe ich den identischen Effekt.
Die Domain ist natürlich eine (eigentlich) Funktionierende.
Vom Handy aus etc. ist es kein Problem.

Ich versuche das Problem noch mal kurz zusammen zu fassen:

test.net ist nur ein Platzhalter für unsere legitime Top Level Domain.
Wir nutzen dom01.test.net als AD Domäne.
Auf dem DC DNS der Domäne ist nur eine Zone dom01.test.net vorhanden, wurde bei dcpromo von Windows erstellt, so weit, so normal.
Nun können wir keinerlei andere Subdomains von test.net innerhalb des ADs (egal ob Membe roder DC) auflösen.
Ist da snormal?

Viele Grüße

Auf dem DC ist utner "Weiterleitung" im DNS die Sophos eingetragen.
Nun haben wir die Sophos auch als Reverse Proxy eingerichtet. Auf der WAN-Schnittstelle lauscht der Reverse Proxy und leitet HTTP an einen internen Server.
Die Subdomain sub.test.net zeigt über den DNS des Domain Providers auf die öffentliche IP der Sophos. Im Reverse Proxy der Sophos ist sub.test.net als Alias eingetragen.

Der Hund ist hier irgendwo begraben.
Ich würde es einfach pragmatisch angehen und auf dem DNS/DC eine Zone "sub.test.net" anlegen. In dieser einen A-Record ohne Namen mit der gewüchten internen IP-Adresse. (läuft auf "Split-DNS" hinaus)

Das funktioniert so auch.
Aber ist ja eigentlich nicht normal oder?
In diesem Fall muss ich alle DNS-Einträge doppelt pflegen.
Was mich stutzig macht, ist die Tatsache, dass es in anderen Umgebungen wie erwartet funktioniert.

German Question Windows Server Microsoft

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments