DNS Ereignis update-Security, was bedeutet das?

[guwen]

Hallo zusammen,
zuerst einmal möchte ich sagen, dass ich vom DNS-Dienst eigentlich keine Ahnung habe - ich bitte um Nachsicht.
Habe den DNS auf der Syno bis zum Installieren des Active Directory Servers auch nicht benötigt. Und unter DSM 6.1RC in Verbindung mit Active Directory Server gab es auch nie Probleme.
Nun habe ich gestern ein Update auf DSM 6.1-15047 durchgeführt. Dabei musste auch ein Update des Actice Direktory Servers (auf 4.4.5-0032) durchgeführt werden. Seit dem habe ich keinen Zugriff von den Win-Clients mehr via Actice Directory.
Das einzige, was ich bis jetzt gefunden habe war das Protokoll des DNS Servers. Hier wird mein Client mit der IP 192.168.0.49 wohl immer "gesperrt" (IP des Servers: 192.168.0.43).

Kann mir bitte jemand einen Tipp geben, wie ich das wieder hin bekomme.


Vielen Dank

 

[4bob]

Hi,

Windows Clients versuchen sich am DNS Server zu registrieren, das erlaubt der aber nicht daher bekommst du die Meldung im Log.
Stimmen die DNS Einträge kannst du die Einstellung so belassen.
Du solltest das nachstellen können wenn du über eine CMD vom Client folgenden Befehl eingibst

ipconfig /registerdns

müsste im LOG erneut der Eintrag erzeugt werden.

Seit dem habe ich keinen Zugriff von den Win-Clients mehr via Actice Directory.

Was wird denn hier im DSM protokolliert ? Was steht in den logs vom Client?
Kannst du das an einem Beispiel genau beschreiben.

Bob

 

[guwen]

Im DNS des DSM sind die Fehlermeldungen aus dem Bild des ersten Posts zu sehen.
Ansonsten habe ich mal einige Screenshots in angehängt.

 

[4bob]

Das sind aber recht viele Fehler.
Das war vor dem Update alles funktionsfähig?

Die Clients bekommen keine Namensauflösung mehr hin, das sollte erst mal korrigiert werden.
Mit einem ipconfig /flushdns löschst du den lokalen Cache am Client.
Mit nslookup verbindest du dich dann zum DNS; hier musst du sicherstellen das alle beteiligten Clients auflösbar sind.

nslookup client 1
nslookup ip client 1
nslookup ds
nslookup ip ds

usw. geht das ? Hast du am DNS eine Weiterleitung für die Internet Adressen hinterlegt? Bild 1 sagt nein. Kannst du eine Windows VM einrichten und Sie der Domain hinzufügen? Ist der Domainname auflösbar ?
Ich hab jetzt kein DSM6.1 verfügbar aber der Active Directory Server sollte auch über eine eigene Oberfläche im DSM verfügen, hier gibt’s keine LOG‘s?

Bob

 

[guwen]

Halt, nicht so schnell...

Also,
das mit dem DNS hat sich ja nur wegen des AD ergeben. Wie gesagt, ich habe keine Ahnung davon. Ich glaube aber, das wird/muss sich nun ändern.
Alle Rechner und auch die Internet of things Dinger sind in meiner Fritzbox eingetragen, nicht im DNS der Syno.
Auf der Syno sehen die DNS Einträge wie folgt aus. Wobei ich dort im Protokoll einige Einträge zum Samba (also dem AD) gefunden habe.


Im AD sieht das so aus


Da ist also nichts mit Protokoll

 

[4bob]

Ok, ich bin jetzt kein AD Experte, doch der interne Domain Name sollte nicht eine Internetdomain sein.
Gibt es einen bestimmten Grund warum du WDT.de gewählt hast ?

Ich würde das ganze ändern, üblich sind .local .int. sofern das für dich machbar ist.
Die Namensauflösung ist eine wichtiger Bestandteil, das muss funktionieren.

Da deine AD mit DNS Integration läuft solltest du sicherstellen das jeder Client dort seinen Eintrag hat.
Die Fritzbox hat sicherlich .fritz als DNS Suffix und das ist nicht wdt.de.

Bob

 

[guwen]

Oh je, da habe ich dann wohl gehörig was falsch verstanden.
Die fritzbox hat ja dieses unsägliche .fritz was sich, soweit ich weiß nicht ändern lässt.
Das WDT.de ist der Name der Active Dircetory Domäne. Ich war der Meinung, das hätte nichts mit dem Domainnamen an sich zu tun.
Nach außen hin, also z.B. Für den Mail- oder Webserver habe ich natürlich meinen offiziell registrierten Domainnamen.
Wenn ich den Domainnamen für den AD ändere, dann muss ich wohl erst einmal die AD Domain löschen und eine neue erstellen. Stellt sich die Frage, ob danach die alten Benutzerprofile noch funktionieren (ich befürchte nicht). Aber schlussendlich nützt das ja nix. Muss ja laufen.

 

[4bob]

Die Profile kannst du teilweise verwenden, Ordner und Dateien sich nicht verloren.
Um es sauber aufzusetzen sollte die ntuser.dat aber gelöscht werden.

Bob

 

[guwen]

So, habe gerade festgestellt, dass ich wirklich die Domain in irgendetwas.local ändern muss. Ich kann aus meinem internen Netz nämlich tatsächlich nicht die Webseite mit meinem (zufällig) vergebenen internen Domainnamen erreichen. So was blödes aber auch.