none
DNS Problem mit nicht FQDN Anfragen RRS feed

  • Frage

  • Hallo Zusammen,

    hier kurz skizziert, worum es geht:

    Wie betreiben eine eigene ADS mit DNS, befinden uns aber mit diversen Tochterunternehmen in einer Art von Verbund und sind untereinander vernetzt, auch mit trusts.

    Die Namensauflösung geschieht folgendermaßen:

    Unser DNS löst eigene Hostnamen ohne Probleme auf.

    Werden Hosts wie www.google.de angesprochen, leiten unsere DNS die Anfrage an den DNS unserers ISPs weiter.

    Soweit so gut.

    Oft bekommen wir aber URL´s von Tocherunternehmen im Verbund unter dem interne Dienste aufrufbar sind.

    In der Regel erhalten wir die Links ohne FQDN.

    Und damit beginnt das Problem.

    An den Clients ist bei uns in den LAN Settings unter TCPIP und DNS nur der Haken gesetzt bei "Append primary and connection specific DNS suffixes". Somit versucht der Client bei unserem DNS den Zielhost mit unserem DNS suffix abzufragen, was ihm natürlich nicht gelingt, weil der Host ja nicht in unserer ADS zu finden ist. Ebensowenig ist der Link im I-net auflösbar.

    Wenn ich den FQDN hätte, würde der Client das Ziel natürlich erreichen können, aber den FQDN kenne ich (erstmal) nicht.

    Wenn ich allerdings in den LAN Settings des Clients unter TCPIP und DNS auf "Append these DNS suffixes (in order)" umschalte und alle mir bekannten Domänen der Tochterunternehmen eintrage, dann löst unser DNS irgendwann den richtigen Host in FQDN auf.

    Meine Frage:

    Gibt es noch eine Einstellmöglichkeit an den zentralen DNS, was es mir ermöglicht, dass alle Domänen abgefragt werden können, ohne dass ich jeden Client entsprechend der DNS settings anpassen muss? Forward Lookup Zones haben wir für viele Domänen eingerichtet, doch die nützen hier scheinbar nichts.

    Wenn ich das richtig verstanden habe, ist das Ergebnis in nslookup von den lokalen DNS settings wie "Append these DNS suffixes (in order)" abhängig und nicht vom zentralen DNS, der abgefragt wird.

    Any ideas?

    Thanks, Anastasia

    Mittwoch, 24. April 2013 08:57

Antworten

  • hi anastasia,

    einfach per GPO und eben nicht manuell die netzwerk clientsettings anpassen und die domänen der dns suffixe hinzufügen :) ansonsten halt nicht schreibfaul sein und FQDN nutzen. erspart dir auch viele probleme wenn ihr mit erweiterten proxy.pacs arbeitet etc. das kann dann nämlich auch zu problemen führen. deshalb empfehle ich jeden immer den FQDN zu nutzen, ob als favorit oder sonstwo

    Mittwoch, 24. April 2013 10:34

Alle Antworten

  • hi anastasia,

    einfach per GPO und eben nicht manuell die netzwerk clientsettings anpassen und die domänen der dns suffixe hinzufügen :) ansonsten halt nicht schreibfaul sein und FQDN nutzen. erspart dir auch viele probleme wenn ihr mit erweiterten proxy.pacs arbeitet etc. das kann dann nämlich auch zu problemen führen. deshalb empfehle ich jeden immer den FQDN zu nutzen, ob als favorit oder sonstwo

    Mittwoch, 24. April 2013 10:34
  • Hi Marcel,

    okay, GPO verstehe ich, möchte aber evt. eine zentrale Lösung am DNS umsetzen können, ohne Clients.

    Das Problem mit dem Liefern von FQDN Links ist halt so eine Sache. Jede Firma geht natürlich davon aus, dass die andere den FQDN kennt und intern wird der FQDN ja auch nicht benötigt, aber die Links nach Extern veschickt ;-). Das Problem kriegen wir hier nie in den Griff.

    Viele Grüße, Anastasia

    Mittwoch, 24. April 2013 14:16
  • Hallo Anastasia,

    Durch die Forward Lookup Zones besteht erst die Möglichkeit der Auflösung. Sonst würde auch nach Änderung der DNS Suchsuffixe keine Auflösung erfolgen. Das es etwas länger dauert ist  korrekt.

    Genau um solche Szenarien abzubilden gibt es FQDN. Die Suchsuffixe sind  nur ein Workaround der netterweise von MS implementiert wurde.

    Die Probleme ist, das "alte" Administratoren noch aus der Zeit der Single Label Domains und WINS kommen. Dementsprechend werden die Login Scripts nicht mir FQDN eingerichtet und stehen auf jedem Client falsch im Explorer und werden somit auch falsch verschickt.

    Ich sehe zwei Möglichkeiten:

    GPO anlegen und Suffixe eintragen oder

    Workflow abändern (Thematik mit den Töchten abklären und die Annahme und Implementierung von nicht fqdn verweigern)


    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.


    Mittwoch, 24. April 2013 14:51
  • Hallo,

    hast du dir mal GlobalNameZones angeschaut. Es ist zwar ein ziemlicher Aufwand das zu pflegen, aber direkt am DNS, ohne Eingriff an den Clients.

    Bitte beachte in diesem Fall aber die Voraussetzungen, um GNZ in Betrieb nehmen zu können.

    Generell muss ich mich aber meinen Vorrednern anschließen und auf DNS Suffixe setzen die ich per GPO verteile.

    Grüße


    Best regards
    Andreas Ernst
    MCITP:EA, MCP, MCTS


    Mittwoch, 24. April 2013 14:52
  • Okay, vielen Dank für die zahlreichen Anregungen.

    Ich werde es wohl mit der GPO Variante versuchen und alle DNS suffixe am Client eintragen lassen.

    Viele Grüße, Anastasia

    Mittwoch, 24. April 2013 15:53
  • Am 24.04.2013 16:52, schrieb Andreas Ernst:

    hast du dir mal GlobalNameZones angeschaut.

    Ach du schei**e. Lass den Blödsinn sein.

    Seit über 20 Jahren gibt es einen MEISTER im Auflösen von NetBIOS Namen, der lange vor allen DNS Server auch mit dynamischen IP Adresse zurecht kam und du willst jetz statische Namen pflegen? Gehts noch?
    Bitte ...

    Schreibe 100 mal an die Tafel:
    WINS, WINS, WINS, WINS, WINS, WINS, WINS, WINS, WINS, WINS ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Mittwoch, 24. April 2013 20:52
  • Hi,

    Am 24.04.2013 10:57, schrieb Anastasia Wickels:

    Any ideas?

    WINS, WINS, WINS, WINS, WINS, WINS, WINS, WINS ...

    Ist das so schwer zu akzeptieren?
    Wer NetBIOS Namen möchte nimmt den der es kann ... keine Pflege, nie kaputt, läuft einfach mit, tut keinem weh, funktioniert.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Mittwoch, 24. April 2013 20:54
  • Hallo Mark,

    mir ist bewusst das GNZ ein Pferdefuß sind. Das hast Du Jusuff und all die anderen MVPs lang und breit erklährt... Aber wenn die Dame nun mal auf Teufel komm raus das Ding im DNS verwalten will, ist es Alternativlos :)

    Habe auch WINS bei mir am laufen und funktioniert ja auch super. Hatte gehofft, das MS die GNZ Funktionalität mit dem Server 2012 ein wenig aufbohrt.... :-(

    wins wins wins wins.....


    Best regards
    Andreas Ernst
    MCITP:EA, MCP, MCTS


    Mittwoch, 24. April 2013 21:00
  • Moin!

    Am 24.04.2013 23:00, schrieb Andreas Ernst:

    [...] Aber wenn die Dame nun mal auf Teufel komm raus das Ding im DNS
    verwalten will, ist es Alternativlos :)

    Ich verstehe ja und gebe zu, daß NetBIOS als Protokoll unterirdisch ist,
    aber ... :-)

    wins wins wins wins.....

    Genau!

    Ich sehe das recht schmerzlos: Solange es das gibt, wird es verwendet, wenn ich keine Arbeit damit habe, noch besser.
    Klar DNS und Suchsuffixe funktionieren. Ist aber eben mit Verwaltung verbunden und das ist das, was ich nicht mag ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Donnerstag, 25. April 2013 07:28