taldrit
Goto Top

Verschiedene DNS-Server in unterschiedlichen Arbeitsgruppen koppeln per Lookupzonen (Namenserver nicht hinzufügbar)

Hallo,

ich arbeite in einer kleinen Firma, welche den IT-Support für mehrere kleinere Firmen leistet.
Diese Firmen haben nun fast alle noch Arbeitsgruppen und bis diese auf Domänen umgestellt werden könnte noch einige Jahre dauern.
Jetzt möchte ich aber die Möglichkeit haben, dass die Firmen sich untereinander unterhalten können, also zumindest die DNS-Server.
Ich will als Admin den Namen eines PCs eingeben können der in einer anderen Firma steht und die passende IP bekommen.
Die Router sind untereinander verbunden und damit besteht schonmal kein Problem eine IP zu finden und mit der zu quatschen.
Ich hatte mir das so vorgestellt:

Von Filiale 1 aus (192.168.20.x/24) zum "Hauptserver" (192.168.60.x/24)

- Ich erstelle eine Forward-Lookupzone (sekundär), die den Namen von unserer Arbeitsgruppe hat.
- Als Zonendateiname gebe ich "ASA.local.dns" an.
- Als Masterserver gebe ich die IP des Hauptservers an (192.168.60.1).
- Zonenübertragung "An jeden Server" (nur für Testzwecke bis es läuft, dann nur an Server die auch eingetragen sind)
- Unter Namenserver ist nun der Server der Arbeitsgruppe ASA mit der korrekten IP eingetragen

Dies bringt die gewünschten Ergebnisse (also keine Fehlermeldung).

- Unter Reverse-Lookupzone erstelle ich dann eine Zone namens "60.168.192.in-addr.arpa" (sekundär). Als Masterserver gebe ich hier auch wieder die 192.168.60.1 an(durch den Eintrag in der HOSTS-Datei wird das aufgeschlüsselt auf den korrekten Servernamen).
- Auch hier lasse ich die Zonenübertragung (vorläufig) an jeden Server zu.
- Unter Namensserver kann ich aber nichts eintragen, die Schaltflächen sind alls ausgegraut.

Dies führt aber zu einer Fehlermeldung "Zone wurde vom DNS-Server nicht geladen. Der DNS-Server hat einen Fehler beim Laden der Zone festgestellt. Bei der Übertragung von Zonendaten vom Masterserver ist ein Fehler aufgetreten..."

Vom "Haupserver" aus zur Filiale 1:

- Forward-Lookupzone (sekundär) erstellen mit dem Namen der Arbeitsgruppe der Filiale
- Zonendateiname "APO102.dns"
- Masterserver bekommt die IP des Servers der Filiale (192.168.20.1).
- Zonenübertragung zulassen (wieder temporär) für jeden Server.
- Namenserver ist auch hier ausgegraut.

Führt zum gleichen Fehler wie die Reverse-Lookupzone der Filiale

- Reverse-Lookupzone (sekundär) erstellen und alles genauso machen wie in der Filiale, was den gleichen Fehler erbringt.

Die erste Forward-Lookupzone hat funktioniert und der einzige Unterschied den ich sehe, ist dass unter Namenserver der entsprechende Server eingetragen ist (s.o.). Bei den anderen drei Zonen kann ich das aber nicht anlegen, da die Schaltflächen zum "Hinzufügen..." ausgegraut sind.

Jetzt die alles entscheidende Frage:
Hat jemand eine Idee woran das liegen könnte und wie ich es behebe?

p.s.: Wenn ich den Server (192.168.20.1) am "Hauptserver" als Masterserver für die Sekundärzone angebe, bekomme ich die Meldung dass dieser Server für die erforderliche Zone nicht "authorisierend" wäre.

Content-Key: 285520

Url: https://administrator.de/contentid/285520

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: Dani
Dani 14.10.2015 um 20:34:32 Uhr
Goto Top
Moin,
warum so kompliziert? Einfach in jeder Firma einen DNS-Server aufsetzen und dort für jede anderen DNS-Server einen Bedingte Weiterleitung auf den entsprechenden DNS-Server hinterlegen. Somit sind alle unabhängig von einander und fragen sich gegenseitig ab, wenn nötig.


Gruß,
Dani
Mitglied: Taldrit
Taldrit 15.10.2015 aktualisiert um 09:04:22 Uhr
Goto Top
Habe ich versucht, aber auch hier bekomme ich die Meldung dass der Server nicht autorisierend wäre.
Ich habe es dann einfach mit einer normalen Weiterleitung probiert, aber auch wenn der 192.168.60.1 z.B. meine "intranet"-Adresse auflösen kann, so kommt dann vom 192.168.20.1 nur dass er es nicht auflösen konnte.

p.s.: Ich habe es nun geschafft dass der Server als autorisierend angenommen wird. Habe eine Forward-Lookupzone und eine Weiterleitung und eine bedingte Weiterleitung auf den Hauptserver. Und dennoch bekomme ich die Adresse "intranet" nicht aufgelöst... so langsam gehen mir die Optionen aus.
Mitglied: Dani
Dani 19.10.2015 um 17:27:14 Uhr
Goto Top
Moin,
Habe ich versucht, aber auch hier bekomme ich die Meldung dass der Server nicht autorisierend wäre
Wie hast du das festgestellt? Wenn dies auf einem einfachen nslookup zurückzuführen ist, so lass dir gesagt sein, dass dies normal ist.
C:\>nslookup gmx.de
Server:  fritz.box
Address:  192.168.52.1

Nicht autorisierende Antwort:
Name:    gmx.de
Address:  213.165.65.60
Wenn du pro DNS-Server die jweilige Zone als "primär" einrichtest du auf den anderen Server diese Zone als bedingte Weiterleitung konfigurierst, läuft's...


Gruß,
Dani
Mitglied: Taldrit
Taldrit 21.10.2015 um 14:57:36 Uhr
Goto Top
Also entweder habe ich dich absolut falsch verstanden oder du mein Problem (bzw. mich).
Ich versuche das hier nochmal komplett aufzuschlüssen:
Server 1:
IP: 192.168.60.1
Subnet: 255.255.255.0 (also eigenes Subnet)
ist per VPN über die Router mit dem hier verbunden:
Server 2:
IP 192.168.20.1
Subnet: 255.255.255.0
Im DNS gibt es jetzt jeweils eine primäre Forward- und Reverse-Lookupzone.
Die Forwardlookup-Zone von Server 1 sieht in etwa so aus:
Status: wird ausgeführt
Typ: Primär
Replikation: (ausgegraut, weil kein AD)
Zonendateiname:
ASA.dns
Dynamische Updates (zum Test mal komplett freigegeben auch für unsichere Updates, normalerweise auf "keine" eingestellt).
Alterung steht auf 30 Tage (auch wenn das wohl komplett uninsteressant ist an dieser Stelle).
Zonenübertragung ist für Server auf der Registerkarte "Namenserver" eingeschaltet.
Benachrictigungen sind für diese Server ebenfalls aktiv.
WINS ist deaktiviert.
Auf Namenserver ist der Server 1 und auch Server 2 hinterlegt.
Klicke ich hier auf "bearbeiten..." so steht bei Server 1 die korrekte IP drin und dahinter bei "Überprüft" ein OK.
Bei Server 2 allerdings ist die IP zwar korrekt, doch statt einem OK, steht hier "Der Server mit dieser IP-Adresse ist für die erforderliche Zone nicht autorisierend.
Genauso sieht es bei der Reverse-Zone und auch der Bedingten Weiterleitung aus. Bei der Weiterleitung habe ich ganz simpel die IP 192.168.20.1 eingetragen und hier ist etwas wirklich merkwürdig. Mal von der üblichen Meldung abgesehen, dass der Server nicht autorisierend wäre, steht hier in der Spalte "Vollqualifizierter Domänenname" ein falscher Name drin. Die HOSTS ist leer, der DNS wurde von mir geflusht und dennoch steht hier ein falscher Servername und dahinter ein Punkt und dann kommt auch noch ein falscher Arbeitsgruppenname. Diese Namen sehen so aus, als hätte er sie irgendwo her. Denn sie waren mal richtig, bevor der Server 2 umgezogen ist. Beim Umzug wurde er komplett getauscht gegen einen neuen mit neuem Namen, etc. Der "neue" Server 2 hat den "alten" Server 2 komplett abgelöst und hat nur dessen IP übernommen.
Eine Idee wie ich das zurückgesetzt bekomme? Vielleicht wird es ja dann besser.
Mitglied: Dani
Dani 29.10.2015 um 12:16:32 Uhr
Goto Top
Moin,
warum machst du den DNS-Server nicht am jeweiligen Standort zum Autoritativen. Auf den beiden anderen Server richtest du dafür eine bedingte Weiterleitung ein.


Gruß,
Dani
Mitglied: Taldrit
Taldrit 03.11.2015 um 08:25:59 Uhr
Goto Top
Mit der Antwort kann ich leider nicht viel anfangen. Welchen Server soll ich wo authorisieren?
Sorry, ich bin eigentlich FIAE und kein FISI. Ich kenne nur die Grundlagen der Administration.
Wäre es vielleicht möglich diese Antwort etwas detaillierter zu beschreiben?

Vielen Dank im Voraus
Mitglied: Dani
Dani 08.11.2015 um 09:56:32 Uhr
Goto Top
Moin,
in Filiale 1 legst du auf dem DNS-Server eine authorisierte DNS-Zone für ASA.local.dns bzw. 192.168.20.x/24 ein. In der Zentrale richtest du für den DNS-Namespace im DNS-Server eine bedingte Weiterleitung ein. Somit brauchst du nichts unnötig replizieren und jeder Standort läuft unabhängt vom anderen.

Die zwei Schritte wiederholst du für alle anderen Standorte wieder und wieder und wieder.


Gruß,
Dani
Mitglied: Taldrit
Taldrit 20.11.2015 aktualisiert um 15:07:00 Uhr
Goto Top
Hi Dani,

du meinst also ich soll eine Forward-Lookupzone in der Filiale anlegen, aber welcher Form? Ist das dann eine sekundäre oder eine primäre Zone? Wenn ich hier eine sekundäre nehme und die IP des Filialservers eintrage (oder auch die vom Zentralserver), bekomme ich immer wieder die Meldung dass der Server nicht authorisierend wäre. (ps. war krank, daher die lange Zeit bis zur Antwort ;))
Mitglied: Dani
Dani 29.12.2015 um 13:15:45 Uhr
Goto Top
Moin,
an dem jeweiligen Standort legst du eine primäre Zone an. An den anderen Standorten richtest für diese primäre Zone einen bedingte Weiterleitung ein.

bekomme ich immer wieder die Meldung dass der Server nicht authorisierend wäre
Führe einen nslookup www.gmx.de durch und du erhältest du die selbe Meldung. Wenn du de aut. DNS-Server für die Domain abfragst erscheint die Meldung nicht. face-smile


Gruß,
Dani