Directory Server Kein Domänenbeitritt möglich mit Windows 11

[Joachim_S]

Hallo,

zurzeit scheitere ich gerade beim Versuch, mit den ersten Windows 11-Clients der Domäne beizutreten, die von meinem Synology Directory Server verwaltet wird. Ist euch das schon mal gelungen?

Einen ersten Client-PC, der schon vorher unter Windows 10 Mitglied der Domäne war, konnte ich erfolgreich upgraden. Er läuft einwandfrei, Domänenbenutzer können sich anmelden und alle Ressourcen wunschgemäß nutzen.

Windows 11-Rechner, die der Domäne erst noch beitreten müssen, kommen dort aber nicht hinein: Der Domänenbeitritt scheitert, weil die Domäne angeblich gar nicht zu erreichen sei. Der DC antwortet aber einwandfrei auf "ping <Servername>" und auch "ping <Server-IP>" (sie lautet 192.168.0.98). Da es offenbar ein DNS-Problem gibt (DNS-Server ist ebenfalls der DC), versuche ich es mit nslookup. Auf dem ersten, upgegradeten PC klappt das fast reibungslos:

>nslookup meinedomaene
DNS request timed out.
timeout was 2 seconds.
Server: Unknown
Adress: 192.168.0.98 ###das ist der DNS-Server

Name: meinedomaene.meinehochschule.de
Addresses: 192.168.0.98 ###das ist der Synology-DC

Es gibt also einmal einen Timeout, aber danach wird die Domäne gefunden und mit ihrem FQDN angeführt (hier „meinedomaene.meinehochschule.de“). Aber im Prinzip funktioniert die Sache (und der Domänenzugriff ja auch).

Will man aber mit einem neu installierten Win 11-PC beitreten oder mit einem, der die Domäne zuvor verlassen hatte, schlägt nslookup fehl und wiederholt nur den Timeout, ohne die Domäne zu finden.

Folgende Versuche zur Bereinigung des DNS-Problems habe ich schon durchgeführt:

netsh int ip reset
netsh winsock reset
ipconfig /flushdns.

Alles ohne Erfolg.

Habt Ihr eine Idee, warum die Domäne nicht oder nach einem Austritt nicht mehr gefunden wird? Unsere ca. 50 restlichen Labor-PCs laufen (noch unter Windows 10) einwandfrei in der Domäne, und ein Client, der beim Upgrade von 10 auf 11 einfach in der Domäne verbleibt, tut das ja auch.

Systemdaten: Synology Directory Server 4.15.13 unter DSM 7.2 auf DS 1522+

Viele Grüße
Joachim

 

[*kw*]

Ich hab kein Windows, aber vielleicht hilft das weiter? (Bordsuche ).

 

[Joachim_S]

Danke für den Tipp,
aber leider kann ich den von dir verlinkten Thread nicht recht auf mein Problem übertragen. Mein Client kann ja nicht mal die Domäne sehen, um ihr beizutreten. Probleme mit Usernamen kann ich in diesem Stadium noch gar nicht haben, nehme ich an. Dafür müsste sich ja der Server erstmal mit einer Loginmaske bei mir melden.
Nochmal kurz zusammengefasst: Der Win11-Client, der vor dem Upgrade schon in der Domäne war, sieht diese (auch mit nslookup), jeder andere Win11-Client sieht sie nicht (auch nicht mit nslookup). Tritt der erstgenannte aus der Domäne aus, kann auch er sie nicht mehr sehen.

 

[Benares]

Sieht für mich so, als ob der DNS-Reverse-Lookup nicht funktioniert. Schau mal mit "nslookup -d ..."

 

[Joachim_S]

Hallo Benares,
"nslookup -d meinedomaene" liefert:

"Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = SERVFAIL
header flags: response, want recursion, recursion avail.
question = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
meinedomäne, type = A, class = IN
-------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = SERVFAIL
header flags: response, want recursion, recursion avail.
question = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
meinedomäne, type = AAAA, class = IN
-------
meinedomaene wurde von Unknown nicht gefunden: Server failed."

Kannst du das interpretieren? Es ist ja immer von Server Failure die Rede, aber der Server funktioniert gegenüber all meinen Win10-Clients einwandfrei.
Dass der DNS-Server hier als "Unknown" steht, muss kein Problem sein, das war auch auf dem Client schon so, wo nslookup funktioniert hatte.

 

[Benares]

Ein DNS-Server hat immer 2 Bereiche, eine für die Auflösung (Name->IP) und eine für die Auflösung (IP->Name), s. hier. Ich vermute, dass da zweiteres fehlt.
Geht etwa "nslookup 192.168.0.98"?

 

[Joachim_S]

Nein, mit "nslookup 192.168.0.98" kommen auch nur Timeouts. Aber die Einstellungen des DNS-Servers auf meiner DS1522 sehen komisch aus. Z. B. kommt dort unter "Ressourceneintrag" folgendes zu Tage:
meinedomaene.meinehochschule.de Typ=A TTL=900 192.168.0.98, was mir richtig vorkommt, aber auch
meinedomaene.meinehochschule.de Typ=A TTL=900 192.168.0.73 und
meinedomaene.meinehochschule.de Typ=A TTL=900 192.168.0.95. Die letzten beiden IPs sollte es eigentlich gar nicht geben, das sind vielleicht Reste fehlgeschlagener Konfigurationsversuche beim Kennenlernen des Syno Directory Servers.
Außerdem stehen dort Dinge wie
meinedomaene.meinehochschule.de Typ=NS TTL=1200 meinserver.meinedomaene.meinehochschule.de (sieht richtig aus), aber auch
meinedomaene.meinehochschule.de Typ=NS TTL=1200 meinserver2.meinedomaene.meinehochschule.de.
Den Rechner meinserver2 gab es tatsächlich mal, als ich Versuche mit einem sekundären Domain Controller gemacht habe. Heute sollte der nicht mehr vorkommen.
Muss ich das bereinigen, z. B. die Zeilen mit meinserver2 und den beiden dubiosen IPs (.73 und .95) rauslöschen? Die führen ja vielleicht dazu, dass nslookups in die Irre laufen.
Ich habe allerdings Angst, hier etwas zu ändern, da die Domäne ja eigentlich (bis auf die Win11-Clients) funktioniert, und ich nicht absehen kann, was passiert, wenn ich hier herumpfusche...

 

[Benares]

Die ersten 3 sind A-Records, also IPv4-Adressen, die beiden anderen NS-Records für die zuständigen Nameserver. Das muss natürlich alles passen.
Lösch raus, was nicht passt, und schau auch mal nach dem Reverse-Lookup.

 

[Joachim_S]

Ich dachte, "nach dem Reverse-Lookup schauen" wäre nslookup -d gewesen, entsprechend meinem Post #5. Wenn es das nicht ist, wie überprüfe ich das dann?
- Die oben zitierten, komischen Zeilen im Ressourceneintrag können mein Problem doch eigentlich nur erklären, wenn sie vom Typ NS sind, oder? Das werde ich in den nächsten Tagen ganz vorsichtig, Zeile für Zeile aufräumen, um nicht plötzlich mit einem kaputten System dazustehen.
Für heute muss ich mich erstmal verabschieden.
Vielen Dank schon mal!

 

[Benares]

Prüfen, ob es geht, ist "nslookup", mit "schauen" meinte ich eher die Konfiguration des DNS-Servers. Dir fehlt wohl auch die Reverse-Zone im DNS-Server. Lies z.B. mal hier.

 

[Joachim_S]

So,
jetzt kann ich die Sache endlich weiterverfolgen. Die DNS-Reverse-Zone einzurichten, scheint ja auf der Synology ganz schön schwierig zu sein. Ich sehe aber auch gar nicht, warum die nötig sein sollte - keiner meiner bisherigen Domain Clients hat sie bisher vermisst, sofern er unter Windows 10 lief oder von Windows 10 auf 11 upgegradet wurde. Der Ansatzpunkt muss ja eigentlich sein: Was ist an Windows 11 anders als an Windows 10, das zu diesem nslookup-Problem führt?

 

[Joachim_S]

Ich würde auch gern nochmal auf meine Eingangsfrage zurückkommen: Ist es jemandem hier schon mal gelungen, mit einem Windows 11-Client in die Domäne eines Synology Directory Servers einzutreten?

 

[metalworker]

Ja das geht Problemlos , hab ich bei mir auch schon laufen. Also grundlegend nen Problem mit Windows 11 gibts da nicht.

 

[Joachim_S]

Ha! *Gelöst*
Tatsächlich gibt es eine einfache Lösung für mein Problem:
Ich muss für den Beitritt den "voll qualifizierten Domänennamen" eingeben (FQDN). Will sagen: Der Beitritt erfolgt nicht zu meinedomaene (so hatte es bisher immer funktioniert), sondern zu meinedomaene.meinehochschule.de. Auch nslookup wird jetzt sofort fündig.
Damit ist die Sache erledigt. Vielen Dank für eure Tipps und Kommentare!