Domain User Passwort ändern dauert ewig (pfSense - IPSEC - AWS)



  • Hi Zusammen,

    ich hab nen DC in AWS am laufen der mit IPSec Tunnel mit unserem Netzwerk verbunden ist, die clients in unserem Netzwerk sind in der Domäne die im AWS liegt.

    Wenn ich jetzt auf nem Client das User Passwort ändern will, funktioniert es zwar, dauert aber 1-5 Minuten.

    Wenn ein User KEIN local admin auf seinem Computer ist und irgendwas installieren will, dauert es genauso lange bis die Abfrage nach Domain Admin Credentials kommt.

    Ich bin mir zu 90% sicher, dass es ein DNS Problem ist, oder ich hab irgend ne Einstellung zwischen pfSense und AWS falsch.

    pfSense macht DNS und DHCP, ich weiß, eigentlich sollte der DC das übernehmen allerdings will ich das im Moment noch so beibehalten.

    Irgendwer ne Idee, woran das liegen könnte? Falls ich ne Info vergessen hab trag ich die gerne nach.


  • LAYER 8 Moderator

    ich weiß, eigentlich sollte der DC das übernehmen

    Nö, soll und muss er m.E. nicht. Clients müssen nicht zwangsläufig ins DNS gepusht werden (das ist unnötig) und nur wegen ein bisschen DHCP und lokalem DNS braucht man das nicht an den DC weiterzugeben. Ich würde aber mal die Domain des DC überprüfen ob

    a) die pfSense vor Ort die Domain
    b) den DC Namen kurz und lang

    vollständig auflösen kann. Die Requests gehen eigentlich immer an den DC, evtl. könnte es aber sein, dass die Anfragen gegen den DNS Forwarder oder Resolver in ein Timeout laufen, weil dort DNSe als Forward eingetragen sind, die nichts mit dem Namen anfangen können. Könnte also ein Problem mit Forwarder/Resolver Package sein.

    Gruß



  • @JeGr:

    ich weiß, eigentlich sollte der DC das übernehmen

    Nö, soll und muss er m.E. nicht. Clients müssen nicht zwangsläufig ins DNS gepusht werden (das ist unnötig) und nur wegen ein bisschen DHCP und lokalem DNS braucht man das nicht an den DC weiterzugeben. Ich würde aber mal die Domain des DC überprüfen ob

    a) die pfSense vor Ort die Domain
    b) den DC Namen kurz und lang

    vollständig auflösen kann. Die Requests gehen eigentlich immer an den DC, evtl. könnte es aber sein, dass die Anfragen gegen den DNS Forwarder oder Resolver in ein Timeout laufen, weil dort DNSe als Forward eingetragen sind, die nichts mit dem Namen anfangen können. Könnte also ein Problem mit Forwarder/Resolver Package sein.

    Gruß

    Hi, danke für die Rückmeldung.

    Die pfsense kann sowohl den kurzen als auch den vollen namen und den namen des DC auflösen. Alles innerhalb ~15ms.



  • Ich kann vom DC aus keine kurzen namen im internen Netzwerk auflösen, Beispiel:

    ping ceofreak-desktop geht nicht
    ping ceofreak-desktop.mydomain.com geht

    Wenn ich im DC nen DNS Forwarder auf die pfSense einrichten will bekomme ich "An unknown error occured". Google DNS kann ich ohne probleme hinzufügen.

    Kann das ein firewall problem sein?


  • LAYER 8 Moderator

    Hat die Firewall den DC als DNS Forwarder eingetragen? Dann wäre es ein Loop und kein Wunder.



  • @JeGr:

    Hat die Firewall den DC als DNS Forwarder eingetragen? Dann wäre es ein Loop und kein Wunder.

    Hi,

    nein. Forwarding mode ist disabled. Hab nur den Resolver.

    Und nen Domain Override auf meine domain + IP vom DC.


  • LAYER 8 Moderator

    OK dann nochmal Step by Step:

    Ich kann vom DC aus keine kurzen namen im internen Netzwerk auflösen, Beispiel:
    ping ceofreak-desktop geht nicht
    ping ceofreak-desktop.mydomain.com geht

    OK. Kann sich der DC mit seinem Namen und dem FQDN denn auflösen? Ich weiß ja nicht wie er heißt, aber geht hier ein ping bzw. nslookup <server>oder nslookup <server>. <domain>sauber?

    Wenn ja, weiter:

    bekomm dein Rechner ceofreak-desktop bspw. die IP vom DC oder von der pfsense? Wenn vom DC: taucht der Name im DNS vom DC auf? Wenn nicht, hat der DC mit dem dynamischen hinzufügen Probleme, dann wär das kein Wunder, dass das nicht geht (ist auch eigentlich nicht so wichtig).
    Zusätzlich: Wie ist der DC auf dem Interface konfiguriert, DNS technisch? Ist er selbst bzw. 127.0.0.1 als erster DNS drin und dann ggf. noch ein anderer? Ist die Suchdomain auf deine DC Domain gesetzt? Ohne korrekte Suchdomain wird der Kurzname nie sinnvoll in den FQDN übersetzt und evtl. wir der DNS Search Path oder DNS Domain nicht sauber via DHCP gesetzt.

    Wenn ich im DC nen DNS Forwarder auf die pfSense einrichten will bekomme ich "An unknown error occured". Google DNS kann ich ohne probleme hinzufügen.

    Das ist dann der letzte Step wenn alles andere sauber läuft. Auf der pfsense selbst: kannst du dort <dc>bzw. <dc>. <domain>auflösen und das klappt sauber? Und andere Domains (extern)? Beim DNS Resolver auch in die Logs schauen, evtl. gibt es einen error, weil der Resolver von unterschiedlichen DNSen unterschiedliche Antworten bekommt auf deine Anfrage (wenn bspw. Split Horizon DNS gemacht wird o.ä.)

    Gruß</domain></dc></dc></domain></server></server>



  • @JeGr:

    OK dann nochmal Step by Step:

    Ich kann vom DC aus keine kurzen namen im internen Netzwerk auflösen, Beispiel:
    ping ceofreak-desktop geht nicht
    ping ceofreak-desktop.mydomain.com geht

    OK. Kann sich der DC mit seinem Namen und dem FQDN denn auflösen? Ich weiß ja nicht wie er heißt, aber geht hier ein ping bzw. nslookup <server>oder nslookup <server>. <domain>sauber?

    Wenn ja, weiter:

    bekomm dein Rechner ceofreak-desktop bspw. die IP vom DC oder von der pfsense? Wenn vom DC: taucht der Name im DNS vom DC auf? Wenn nicht, hat der DC mit dem dynamischen hinzufügen Probleme, dann wär das kein Wunder, dass das nicht geht (ist auch eigentlich nicht so wichtig).
    Zusätzlich: Wie ist der DC auf dem Interface konfiguriert, DNS technisch? Ist er selbst bzw. 127.0.0.1 als erster DNS drin und dann ggf. noch ein anderer? Ist die Suchdomain auf deine DC Domain gesetzt? Ohne korrekte Suchdomain wird der Kurzname nie sinnvoll in den FQDN übersetzt und evtl. wir der DNS Search Path oder DNS Domain nicht sauber via DHCP gesetzt.

    Wenn ich im DC nen DNS Forwarder auf die pfSense einrichten will bekomme ich "An unknown error occured". Google DNS kann ich ohne probleme hinzufügen.

    Das ist dann der letzte Step wenn alles andere sauber läuft. Auf der pfsense selbst: kannst du dort <dc>bzw. <dc>. <domain>auflösen und das klappt sauber? Und andere Domains (extern)? Beim DNS Resolver auch in die Logs schauen, evtl. gibt es einen error, weil der Resolver von unterschiedlichen DNSen unterschiedliche Antworten bekommt auf deine Anfrage (wenn bspw. Split Horizon DNS gemacht wird o.ä.)

    Gruß</domain></dc></dc></domain></server></server>

    NSLOOKUP auf DC1:

    DC1: Löst nicht auf
    DC1.mydomain.com: Löst auf
    mydomain.com: löst auf

    Rechner ceofreak-desktop:
    Bekommt IP von pfSense und ist in der Domäne. Record im DNS des DC1 auch mit korrekter IP hinterlegt.

    Interface Config DC1:

    127.0.0.1 als erste Addresse, keine Alternative Addresse eingetragen.
    Unter Advanced / DNS sind unter "Append these DNS suffixes(In order)" ein paar AWS Addressen eingetragen (Der Server ist im AWS).
    Unter Advanced / DNS unter "DNS Server Addresses, in order of use:" 127.0.0.1

    Wo finde ich die Suchdomain?

    Letzer Step pfSense Diagnostics / DNS Lookup:

    DC1: Löst auf über 127.0.0.1 0msec
    DC1.mydomain.com: Löst auf über 127.0.0.1 0msec

    Ich habe auf dem DC selbst ja die pfSense nirgends als forwarder eingetragen, daher kann der DC ja eigentlich gar nicht wissen, dass die pfSense sein alternativer DNS Server ist?

    Danke für deine Zeit schon mal!



  • Keiner mehr ne Idee?  :-X


Log in to reply