DNS Name kann nicht bei der RED aufgelöst werden (Bin Anfänger)

Question

Hallo zusammen, 
 
 mit der Sophos UTM bin ich noch nichts so bewandert und habe da ein Problem bei meiner jetzigen Installation: 
 Wir haben ein Netzwerk das wie folgt aufgebaut ist 
 --> Ein WAN Schnittstelle 
 --> Ein Internes Lan als Schnittstelle 
 --> F&uuml;r die RED aktuell ein Lan install Schnittstelle. 
 
 Es gibt eine DNS Anfrage Router &uuml;ber den Domaincontroller und ansonsten ist im richtigen Netz beim Kunden das Interne Lan und wir haben uns mit der RED eine Verbindung zu uns gebaut um diverse Sachen noch zu installieren. 
 
 Es funktioniert alles wie es soll, bis auf folgendes: 
 Ich muss einen Server mit seinem Hostname erreichen in diesem Fall der DPMSRV. 
 Wenn ich ihn pinge mit seiner IP funktioniert es einwandfrei, nur falls ich den Namen DPMSRV probiere bekomme ich nur: Host konnte nicht gefunden werden. 
 Ich habe dann probiert den DCSRV zu pingen auch ohne Erfolg, also muss doch ein Problem mit meinem DNS Routing sein? 
 
 Anfangs funktionierte pingen auch nicht, weil die Maskierung noch nicht gesetzt war, nun darf Lan Install nach Lan intern. 
 
 Die UTM habe ich nun eine weile durchforstet und leider nichts gefunden was mir das Problem erleichtert. 
 
 Ich hoffe ihr k&ouml;nnt mir helfen 
 UTM:

Lars Zimmermann1 · Answer

Hallo, 
 in den DHCP Einstellungen f&uuml;r die RED (Network Services / DHCP) muss die lokale Domain und am besten der lokale DNS-Server eingetragen sein 
 In den Firewall regeln muss zwingend die Kommunikation zwischen Standort hinter der Red und dem DC, welcher DNS machen soll erlaubt sein. 
 Auf keinen Fall einen DNS-Server wie 8.8.8.8 nutzen - der kann nat&uuml;rlich nicht korrekt antworten - woher soll der das interne Netz kennen. 
 freundliche Gr&uuml;&szlig;e 
 L.Zimmermann

Luis Jablonski · Answer

Hi, 
 der lokale DNS Server ist eingetragen und kein globaler ich habe zus&auml;tzlich zum testen auch mal als sekund&auml;ren den Domaincontroller eingetragen, aber ohne besserung.

Luis Jablonski · Answer

OK ich probiere es mal besser zur erkl&auml;ren: 
 Wir haben mit der RED ein install Netzwerk, alle Clients die sich in diesem Netz befinden m&uuml;ssen die Server im Netz beim Kunde mit dem Hostname erreichen k&ouml;nnen. 
 
 Im Install Netzwerk gibt es keine Domain und der Server der sich im richtigen Netz befindet, ist au&szlig;erhalb der Dom&auml;ne und kann ihn deswegen nicht mit Hostname + Dom&auml;ne pingen. 
 Auf euren Rat habe ich ping dcsrv.domain.local gemacht und siehe da ich bekomme Antwort von den Ger&auml;ten in der Dom&auml;ne. 
 
 Aber die Clients im Install Netzwerk m&uuml;ssen den Server mit einer mit dem Standard Namen erreichen. 
 
 Hintergrund: 
 Es ist eine automatische Installation von Windows die in unserer Testumgebung einwandfrei funktioniert nur leider jetzt nicht, weil die Clients probieren auf : \DMPSRV\Share$ draufzuzugreifen. 
 Weil der normale ping an DMPSRV kein Ergebnis liefert finden Sie nat&uuml;rlich auch keinen Server. 
 
 Im Prinzip sind es auch alle Host im Install Netzwerk die ihn erreichen m&uuml;ssen, was anderes l&auml;uft nicht in dem Netz. 
 
 Der Client m&uuml;sste doch eig. seinen DNS Fragen und der ist erst 192.168.130.1 von der RED und der m&uuml;sste ihm doch zum Domaincontroller senden und dadurch den Namen ausspucken, oder sehe ich etwas falsch. 
 
 Bitte sagt mir falls irgendwas doof beschrieben ist oder zu unklar. 
 
 Ich danke euch!

Luis Jablonski · Answer

Noch ein Update sollte ich im DNS auf dem Server in der Forward Lookupzone eine A- Eintrag anlegen mit folgenden Daten: 
 Hostname: DPMSRV 
 IP: 192.168.120.16 
 
 Dann erreiche ich mit dem ping dpmsrv.domain.local den Server, aber leider ohne den vollen Namen nicht. 
 
 Kann ich des irgendwie umbauen, z.B. das wenn jemand DPMSRV ping das es im Hintergrund zum vollen FQDN wird? 
 
 Ich danke f&uuml;r die Infos

Luis Jablonski · Answer

Mal ne Dumme Frage in dem Install Netzwerk gibt es ja keine Dom&auml;ne. 
 In den Rechner steht dann als Dom&auml;ne Workgroup. 
 Wie soll ich das einbauen oder verstehe ich das falsch?

Luis Jablonski · Answer

Ich habe drunter genantwortet, danke dir Dirk!

PhilippRusch · Answer

Hallo Luis, 
 das ist ja wieder einmal der Windows Klassiker: NetBIOS-Namen in Freigaben verwenden und dann DNS-Aufl&ouml;sung erwarten. Das mag intern funktionieren, im VPN schl&auml;gt das dann fehl. 
 Erkl&auml;rung: ein FQDN ist \DMPSRV.installdom.local\Share$, dies kann problemlos per DNS aufgel&ouml;st werden. 
 Ein NetBIOS Name ist sozusagen eine Abk&uuml;rzung: \DMPSRV\irgendwas, oder nur DMPSRV. Das kann nur mithilfe von "NetBIOS over TCPIP" aufgel&ouml;st werden und ist eine verda.... Kr&uuml;cke. Genauso wie hosts Dateien sollte das eigentlich verboten werden.

Luis Jablonski · Answer

Hallo Phillipp, 
 danke dir erstmal f&uuml;r die Antwort! 
 Das habe ich soweit verstanden, wieso und weshalb es nicht funktioniert. 
 Gibt es die M&ouml;glichkeit sowas zu umgehen oder eine Router f&uuml;r DMPSRV zu definieren? 
 Oder sogar auf dem Server DMPSRV etwas anzubieten. 
 
 Danke dir 
 Gr&uuml;&szlig;e

dirkkotte · Answer

Fang blo&szlig; nicht mit der Hosts-Datei an. ... und schon gar nicht in einem Install-Netz. Was du dann auslieferst, ist "defekt". 
 Siehe jprusch: ...NetBIOS-Namen in Freigaben verwenden und dann DNS-Aufl&ouml;sung ... 
 Sauber w&auml;re, du baust die Installation auf Vollqualifizierte Servernamen (DNS-Tauglich) um. 
 Ein Workaround, welcher funktionieren k&ouml;nnte: Trage den fehlenden Dom&auml;nen-Teil im DHCP unter Dom&auml;ne ein. DHCP bietet diesen dann den Clients an (unter Windows wird das zum "Verbindungsspezifischen Dom&auml;nen-Suffix") und wenn alles mitspielt, versuchen u.U. Betriebssystem und Anwendung, ob der "kurze" Name (NetBios-Name) evtl. aufzul&ouml;sen geht, wenn man dieses Suffix anh&auml;ngt. Erfolgschancen gibt es durchaus, wobei ein Install-mini-OS da schon mal etwas anders reagiert, als ein volles Windows.

Luis Jablonski · Answer

Hi Phillip, 
 ich konnte mit der Pfusch L&ouml;sung im DHCP vom install Netzwerk die Dom&auml;ne.local einzutragen immerhin einen Ping nur mit DPMSRV ausf&uuml;hren und eine richtige Antwort bekommen. 
 
 Die Software die wir nutzen ist Windows Deployment Toolkit, nun verbindet er sich und sagt auch Verbindung ok. 
 Nur leider sagt er nun falsche Credentials, er meldet sich mit dem Benutzer vom Server an. Ich vermute nur das er sich nun als User.Domain.local anmeldet und der DPMSRV sagt: hau ab Dich kenn ich nicht. 
 K&ouml;nnte ich das austricksen, wenn ich dem DPMSRV als DNS-Suffix Domain.local gebe? Weil dann m&uuml;ssten die Credentials ja wieder gleich sein oder? 
 
 Zu deiner Antwort Phillip: 
 Das bei einem ADS die DNS Rolle mit installiert wei&szlig; ich und auch das man es auch separat installieren kann. 
 Nur meinst du ich soll nun die Forward und Reverse Lookupzone auf dem ADS konfigurieren? 
 Weil dort habe ich zum Testen schon in der Forward einen A Eintrag mit dem DPMSRV eingerichtet, hatte aber nichts gebracht. 
 Oder brauch ich daf&uuml;r zwingend auch einen Eintrag in der Reverse Lookupzone? 
 Du meinst also das ich in der Reverse Zone z.B. als NetzID das Kundennetz angebe z.B. 192.168.130 und dann per DHCP in dem Fall den Domaincontroller verteilen lass also z.B. 192.168.120.10 
 Somit w&auml;re im Install Netz der DNS &hellip; 120.10 und das Gateway die RED 192.168.130.1 
 Ich danke dir und euch :)