Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS & AD funktioniert nicht zu 100% über pfsense

    Scheduled Pinned Locked Moved Deutsch
    8 Posts 2 Posters 3.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ?
      A Former User
      last edited by

      Hallo zusammen,

      leider komme ich bei einem Problem aktuell nicht weiter - vll. habt ihr ja einen Tipp für mich.

      Aktuell habe ich folgende Situation:

      192.168.0.0/24                                                                  192.168.10.0/24
      –-----------        ------------                ------------      ----------------------
      | LAN ZEN.  |  -  |    Bintec  | -  Internet - | pfsense  |  -  | LAN Geschäftsstelle  |
      -------------        ------------                ------------      ----------------------

      • LAN Zen(trale) : 192.168.0.0 / 24
      • LAN GS          : 192.168.10.0 / 24
      • Bintec            : Bintec r1200w
      • pfsense          : 1.2.3 / PC Eng. Emb. (Alix)

      Zwischen der Bintec und der pfsense steht ein IPSec Tunnel, welcher stabil (!) läuft.
      In der Zentrale läuft (u.a.) ein SBS 2008 (AD, Exchange, ...).
      Per Ping (auf IP) kann ich beidseitig entsp. Resourcen anpingen.
      Von der GS aus kann man auf Freigaben etc. der Zentrale auch zugreifen.

      Vor kurzem wollte ich jedoch einen neuen PC an der GS in das ActiveDirectory aufnehmen.
      Leider gelang es mir nicht, da der PC (Win7 Prof.) meldete, das entsp. AD nicht auflösen zu können.
      In der pfsense habe ich den "DNS Forwarder" aktiv und als "Domain" habe ich den entsp. AD-Domänen Namen (z.B. domain.local) angegeben.
      Pinge ich z.B. "server01" an von der GS aus an, so löst er dies korrekt auch mit "server01.domain.local" auf.

      Was allerdings nicht geht (von der Zentrale aus), ist das Anpingen per Namen z.B. eines Notebooks, welches an der GS aktiv ist.
      Per IP klappt es jedoch.

      Hat ggf. einer eine solche ähnliche Konstellation?
      Irgendwas an meiner DNS Config ist nicht korrekt, leider komme ich aktuell nicht darauf was?

      Bin für jeden Tipp dankbar,

      Gruß Sanches.

      1 Reply Last reply Reply Quote 0
      • L
        Livinlight
        last edited by

        Die Meldung dass AD nicht aufgelöst werden kann, ist korrekt. Hintergrumnd ist, dass ein DNS in einer AD Umgebung nicht nur Namen sondern auch Dienste auflöst (Beispiel Kerberos…).
        Du kannst versuchsweise dein SBS als DNS eintragen, damit muss es funktionieren! Das würde auch erklären warum dein Ping auf Notebook in der GS auf den Namen nicht funktioniert, weil der Name nicht in DNS registriert wird.

        1 Reply Last reply Reply Quote 0
        • ?
          A Former User
          last edited by

          Hallo,

          das ist aber leider das seltsame - der SBS ist schon als primärer DNS hinterlegt ???
          An den Clients der GS wird per DHCP

          • als prim. DNS die IP des SBS-Servers angegeben
          • als seku. DNS die pfsense in der GS.

          Am SBS selbst habe ich auch eine entsp. Reverse Zone (für den Bereich des GS-Netzes) erstellt.
          In der Forward-Zone des SBS-DNS sehe ich auch Client-Einträge aus dem Netz der GS - aber nicht in der Reverse-Zone!

          Gruß Sanches

          1 Reply Last reply Reply Quote 0
          • L
            Livinlight
            last edited by

            Der DNS ist aus der Zweigstelle erreichbar und löst ordungsgemäß auf? In AD hast du das Subnetz zugeordnet?
            Sind Firewallregeln definiert zwischen den Standorten?

            1 Reply Last reply Reply Quote 0
            • ?
              A Former User
              last edited by

              Hallo Livinlight,

              Der DNS ist aus der Zweigstelle erreichbar und löst ordungsgemäß auf?

              Ja, das macht er. Ping's klappen, nslookup klappt.
              Wie aber schon geschrieben, klappt es leider nicht, PCs aus der GS ins AD aufzunehmen …

              Sind Firewallregeln definiert zwischen den Standorten?

              Ja sind definiert. Ich habe aber auch mal temporär das ganze auf "durchzug" gestellt (sprich alles offen).
              Das hat an der Situation leider nichts gebessert. Demnach gehe ich auch davon aus, das die Regeln passen.

              In AD hast du das Subnetz zugeordnet?

              Was meinst du damit genau? Das AD hat viele Schalter … ;D

              Gruß Sanches

              1 Reply Last reply Reply Quote 0
              • L
                Livinlight
                last edited by

                Du musst unter Standorte und Dienste einen Standort festlegen, meistens wird bei Hochstufen zum DC ein Defaultstandort festgelegt. Diesem Standort müssen die bestehenden Subnetze zugeordnet werden. Über diese Zuordung wird gesteuert wo (an welchem DC) sich Clienten in Abhängigkeit ihres Subnetzes anmelden. Übrigens zu den Firewallregeln, in einer Domäne wird z. B. auch ICMP benötigt, also nicht nur TCP/IP.

                Viel Glück
                Livinlight

                1 Reply Last reply Reply Quote 0
                • ?
                  A Former User
                  last edited by

                  Hallo Livinlight,

                  sorry erst einmal für die späte Reaktion.

                  Ist es den auch unproblematisch mit einem SBS?
                  Nicht das da dann durch die vielen Wizards wieder irgendwas zerschossen wird …

                  Gruß Sanches

                  1 Reply Last reply Reply Quote 0
                  • L
                    Livinlight
                    last edited by

                    Hi,
                    keine Ahnung ob der SBS 2008 an der Stelle irgendetwas verwurstet, wenn du die Wizards benutzt.
                    Mach doch vorher einfach eine Vollsicherung wenn du dir nicht sicher bist.

                    VG.
                    Livinlight

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.