DNS & AD funktioniert nicht zu 100% über pfsense
-
Hallo zusammen,
leider komme ich bei einem Problem aktuell nicht weiter - vll. habt ihr ja einen Tipp für mich.
Aktuell habe ich folgende Situation:
192.168.0.0/24 192.168.10.0/24
–----------- ------------ ------------ ----------------------
| LAN ZEN. | - | Bintec | - Internet - | pfsense | - | LAN Geschäftsstelle |
------------- ------------ ------------ ----------------------- LAN Zen(trale) : 192.168.0.0 / 24
- LAN GS : 192.168.10.0 / 24
- Bintec : Bintec r1200w
- pfsense : 1.2.3 / PC Eng. Emb. (Alix)
Zwischen der Bintec und der pfsense steht ein IPSec Tunnel, welcher stabil (!) läuft.
In der Zentrale läuft (u.a.) ein SBS 2008 (AD, Exchange, ...).
Per Ping (auf IP) kann ich beidseitig entsp. Resourcen anpingen.
Von der GS aus kann man auf Freigaben etc. der Zentrale auch zugreifen.Vor kurzem wollte ich jedoch einen neuen PC an der GS in das ActiveDirectory aufnehmen.
Leider gelang es mir nicht, da der PC (Win7 Prof.) meldete, das entsp. AD nicht auflösen zu können.
In der pfsense habe ich den "DNS Forwarder" aktiv und als "Domain" habe ich den entsp. AD-Domänen Namen (z.B. domain.local) angegeben.
Pinge ich z.B. "server01" an von der GS aus an, so löst er dies korrekt auch mit "server01.domain.local" auf.Was allerdings nicht geht (von der Zentrale aus), ist das Anpingen per Namen z.B. eines Notebooks, welches an der GS aktiv ist.
Per IP klappt es jedoch.Hat ggf. einer eine solche ähnliche Konstellation?
Irgendwas an meiner DNS Config ist nicht korrekt, leider komme ich aktuell nicht darauf was?Bin für jeden Tipp dankbar,
Gruß Sanches.
-
Die Meldung dass AD nicht aufgelöst werden kann, ist korrekt. Hintergrumnd ist, dass ein DNS in einer AD Umgebung nicht nur Namen sondern auch Dienste auflöst (Beispiel Kerberos…).
Du kannst versuchsweise dein SBS als DNS eintragen, damit muss es funktionieren! Das würde auch erklären warum dein Ping auf Notebook in der GS auf den Namen nicht funktioniert, weil der Name nicht in DNS registriert wird. -
Hallo,
das ist aber leider das seltsame - der SBS ist schon als primärer DNS hinterlegt ???
An den Clients der GS wird per DHCP- als prim. DNS die IP des SBS-Servers angegeben
- als seku. DNS die pfsense in der GS.
Am SBS selbst habe ich auch eine entsp. Reverse Zone (für den Bereich des GS-Netzes) erstellt.
In der Forward-Zone des SBS-DNS sehe ich auch Client-Einträge aus dem Netz der GS - aber nicht in der Reverse-Zone!Gruß Sanches
-
Der DNS ist aus der Zweigstelle erreichbar und löst ordungsgemäß auf? In AD hast du das Subnetz zugeordnet?
Sind Firewallregeln definiert zwischen den Standorten? -
Hallo Livinlight,
Der DNS ist aus der Zweigstelle erreichbar und löst ordungsgemäß auf?
Ja, das macht er. Ping's klappen, nslookup klappt.
Wie aber schon geschrieben, klappt es leider nicht, PCs aus der GS ins AD aufzunehmen …Sind Firewallregeln definiert zwischen den Standorten?
Ja sind definiert. Ich habe aber auch mal temporär das ganze auf "durchzug" gestellt (sprich alles offen).
Das hat an der Situation leider nichts gebessert. Demnach gehe ich auch davon aus, das die Regeln passen.In AD hast du das Subnetz zugeordnet?
Was meinst du damit genau? Das AD hat viele Schalter … ;D
Gruß Sanches
-
Du musst unter Standorte und Dienste einen Standort festlegen, meistens wird bei Hochstufen zum DC ein Defaultstandort festgelegt. Diesem Standort müssen die bestehenden Subnetze zugeordnet werden. Über diese Zuordung wird gesteuert wo (an welchem DC) sich Clienten in Abhängigkeit ihres Subnetzes anmelden. Übrigens zu den Firewallregeln, in einer Domäne wird z. B. auch ICMP benötigt, also nicht nur TCP/IP.
Viel Glück
Livinlight -
Hallo Livinlight,
sorry erst einmal für die späte Reaktion.
Ist es den auch unproblematisch mit einem SBS?
Nicht das da dann durch die vielen Wizards wieder irgendwas zerschossen wird …Gruß Sanches
-
Hi,
keine Ahnung ob der SBS 2008 an der Stelle irgendetwas verwurstet, wenn du die Wizards benutzt.
Mach doch vorher einfach eine Vollsicherung wenn du dir nicht sicher bist.VG.
Livinlight