[2003] Netlogon errors in eventlog: DNS config fout?

donderdag 21 april 2005 00:12

ye olde farte

[rml]BackSlash32 in "[ 2003] Redirected sites falen via DNS Dr..."[/rml]

Verplicht leesvoer:

Windows Operating Systems - Howto's and Guides

[ Voor 34% gewijzigd door alt-92 op 21-04-2005 00:07 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

donderdag 21 april 2005 08:57

Topicstarter

Ik heb de W2K3 gidsen wel gelezen, maar zie dus niet in wat ik specifiek fout gedaan heb. Intern lijkt ook alles prima te functioneren.
In principe wil ik ook helemaal geen publieke DNS functie vervullen; noch mijn machines publiek beschikbaar maken. Het netwerkje is maar klein (10 clients)

Acties:

donderdag 21 april 2005 09:35

ye olde farte

Jouw Domain Controller hoort zich bij z'n eigen IP adres in z'n eigen DNS te registreren, niet die ene op internet.
Ten eerste omdat (bijna alle) DNS servers op inet geen dynamic updates slikken (wat je daarboven dus ziet).
Ten tweede geef je hier dus ook nog eens je interne netwerk mee bloot aan derden, en die kunnen daar misbruik van maken.
Ten derde krijg je die errors niet als je DNS goed op is gezet.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

donderdag 21 april 2005 09:41

Topicstarter

Ik geloof je gelijk dat het nu fout geconfigureerd is, maar ik heb geen idee wat er verkeerd is. Als gezegd heb ik van DNS weinig kaas gegeten. Ik heb de zeven pagina's 'Configuring a DNS server' van Microsoft gelezen en vervolgens het stappenplan in 'Step-by-Step Guide to a Common Infrastructure for Windows Server 2003 Deployment Part 1: Installing Windows Server 2003 as a Domain Controller' trouw gevolgd.

In beide maken ze geen backward zones aan en in die step by step guide gebruiken ze expres ook de bestaande internet domein naam wat ik dus braaf gevolgd heb.

Wat moet ik veranderen om dit probleem op te lossen?

Acties:

Angelfire

AKA AZwaanR or RZA

Op je server, op je NIC instellen dat ie ALLEEN naar zichzelf kijkt (bij DNS dan), en niet naar Internet. De forwarders die je in je DNS heb aangemaakt zorgen er voor dat je alles kan resolven.
Je clients hebben genoeg aan je interne DNS server IP. Dan werkt alles zoals je wilt, zonder foutmeldingen.

[ Voor 3% gewijzigd door Angelfire op 21-04-2005 09:42 . Reden: toevoeging ]

I play my enemies like a game of chess...

donderdag 21 april 2005 10:04

Acties:

Verwijderd

Returned Response Code (RCODE): 5 >> ik neem aan een access denied melding.
Returned Status Code: 9017 >> dit betekent dns bad key.

misschien toch handig om de overige melding ook even te vermelden (gooi je eventlog leeg (save) en herstart de netlogon service).

edit: "Secondaire staat op een publiek DNS IP" deze weghalen en klaar... (als je dc dns om wat voor reden dan ook een timeout geeft ga je proberen je domain records te registreren bij je provider dns). laat al je clients alleen naar je dc('s) wijzen en stil een forwarder voor alle zones in naar je provider in de dns server instellingen.

[ Voor 44% gewijzigd door Verwijderd op 21-04-2005 10:09 ]

donderdag 21 april 2005 10:05

Acties:

donderdag 21 april 2005 10:53

Certified Prutser

Probleem is als je op een domain controller niet alleen zijn eigen adres als DNS server opgeeft maar bij de secondary adres het ip adres van je provider opgeeft de machine op het internet gaat zoeken om zich te registeren op het moment dat de responstijd van je interne DNS server te lang duurd. Daarom configureert men altijd Forwarders of stubzone's (in 2k3) en stelt men alleen het ip adres van de lokale DNS server op de domain controllers in.

Acties:

donderdag 21 april 2005 11:01

Topicstarter

Helemaal duidelijk nu. Ik heb de sec DNS van de server controller op jullie advies leeggelaten (vond het ook al raar dubbel op) en inderdaad geen LogOn errors meer in het system log. Dank heren!

Heeft de setup met de interne domeinnaam = webnaam nu nog nadelen of risico's of kan ik dit zo laten?

In een ander topic schreef BackSlash32 over deze config namelijk: "Het probleem wat je daar hebt komt dus omdat je zo onhandig bent geweest als domain een fully qualified domain name te kiezen die al ergens online staat.
Op zich geen ramp, maar dan moet je DNS wel goed als split-brain DNS lopen, en dat doet de jouwe dus ab-so-luut niet."

Ik weet niet zeker wat hij hier bedoelt. Ik vind het onhandig dat ik het externe IP adres van mijn provider als A-record moet invoeren, maar heeft het verder nadelen? Is het ontbreken van een backward zone van belang voor het functioneren?

Acties:

donderdag 21 april 2005 11:15

Certified Prutser

Active Directory vind zo'n zone wel erg fijn ja.

Acties:

Verwijderd

max3D schreef op donderdag 21 april 2005 @ 10:53:
Ik weet niet zeker wat hij hier bedoelt. Ik vind het onhandig dat ik het externe IP adres van mijn provider als A-record moet invoeren, maar heeft het verder nadelen?

als je webserver intern staat moet je gewoon het interne ip nummer voor je www record invullen...

als het overigens werkt om van binnenuit te connecten op je externe ip, dan ben je nog eens vulnerable voor spoofing attacks ook

als die webserver gewoon bij een provider staat dan is het prima zo...

Is het ontbreken van een backward zone van belang voor het functioneren?

zoals muts al zei, het is wel aan te raden om die aan te maken.

donderdag 21 april 2005 11:21

Acties:

donderdag 21 april 2005 11:54

Topicstarter

Verwijderd schreef op donderdag 21 april 2005 @ 11:15:
[...]

als je webserver intern staat moet je gewoon het interne ip nummer voor je www record invullen...

als het overigens werkt om van binnenuit te connecten op je externe ip, dan ben je nog eens vulnerable voor spoofing attacks ook

als die webserver gewoon bij een provider staat dan is het prima zo...

[...]

zoals muts al zei, het is wel aan te raden om die aan te maken.

Webserver staat extern en ik heb dus een A-record voor www aangemaakt met het provider adres.

Ik zal die backward zone gaan vullen. Enige tip hoe dat te doen, want dat fameuze stappenplan
'DNS server role: Configuring a DNS server' van Microsoft rept daar niet van.

Acties:

donderdag 21 april 2005 13:08

ye olde farte

Daar hebben we
1) clue voor
2) ervaring voor
3) een mooie collectie HOWTO's hier in WOS voor

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

donderdag 21 april 2005 13:10

Topicstarter

Je mag me best uitlachen, maar ''How to troubleshoot DNS' en 'DNS Forwarding in Windows 2000' van Mutsje heb ik echt gespeld, maar dan weet ik nog niet WAT ik in die reverse zones moet zetten.

Ik heb de installatie eens overgedaan om toch maar een andere naam te nemen (mijndomein.mijnsite.com deze keer, wat iig een duidelijker netbios naam geeft die niet verward wordt met de sitenaam). Kon ik gelijk kijken waarom er geen reverse zones komen. Ik zie nu dat de active directory wizard van W2k3 dit gewoon overslaat. Hij configureert de DNS server als alleen forward.

Als je de DNS server apart configureert zonder eerst AD te installeren kan je wel kiezen voor zowel forward als reverse zones, maar voor een klein netwerk wordt daar aangeraden alleen forward te doen. Bovendien is het veiliger om eerst AD te kiezen volgens al die ingebouwde wizards en dan eindig je dus sowieso zonder reverse zones.

Blijft mijn probleem: hoe doe ik dat dan achteraf (en waarom hebben er niet veel meer mensen problemen mee; ik zal toch niet de enige zijn die de installatie instructies van microsoft volgt?).

Acties:

donderdag 21 april 2005 15:09

Certified Prutser

Je moet de reverse lookup zone van je interne netwerk aanmaken dus als jou netwerk 192.168.1.x is wordt dat ook jou reverse lookup zone. Je kunt namelijk maar 3 octetten invullen.... aka 192.168.1

En we lachen je niet uit alleen verwachten we wel een beetje zelf initiatief hier

Blijft mijn probleem: hoe doe ik dat dan achteraf (en waarom hebben er niet veel meer mensen problemen mee; ik zal toch niet de enige zijn die de installatie instructies van microsoft volgt?).

De wizard van Microsoft maakt inderdaad geen reverse lookup zone aan. Je kunt gewoon rechts klikken op reverse lookup zones > New Zone en dan volg je de instructies die de wizard je laat zien en vult het netjes in

hint: je maakt een primary zone aan

[ Voor 48% gewijzigd door mutsje op 21-04-2005 13:13 ]

Acties:

donderdag 21 april 2005 16:09

Topicstarter

Ja, als ik van te voren geweten had dat het zo verschrikkelijk simpel zou zijn, had je me natuurlijk niet gehoord

Drie muisklikjes later werken mijn reverse lookups als een tierelier. Misschien wel een idee om die twee zinnen eens toe te voegen aan de howto's, want als het aan Microsoft ligt worden er nooit reverse zones gemaakt. AD schijnt er mee te leven.

Anyway, nu heb ik nog een raar probleempje dat het gevolg is van het verwijderen van mijn oude DNS setup in combinatie met mijn behoefte om de wereld via een publiek DNS op de server adapter te informeren over mijn netwerkje.

Het regent Netlogon errors van het type:
The dynamic deletion of the DNS record '_kerberos._udp.studiopc.com. 600 IN SRV 0 100 88 pundit.studiopc.com.' failed on the following DNS server:

(en voor bovenstaande dus ook alle andere varianten)

DNS server IP address: 84.244.132.42
Returned Response Code (RCODE): 5
Returned Status Code: 9017

USER ACTION
To prevent remote computers from connecting unnecessarily to the domain controller, delete the record manually or troubleshoot the failure to dynamically delete the record. To learn more about debugging DNS, see Help and Support Center.

ADDITIONAL DATA
Error Value: DNS bad key.

Ik kan natuurlijk niet 'manually' die niet meer bestaande records verwijderen op een DNS server die niet van mij is. Moet ik dit gewoon laten lopen of is er iets dat ik eraan kan doen?

Acties:

donderdag 21 april 2005 16:17

Certified Prutser

ipconfig /flushdns
ipconfig /registerdns
deze uitvoeren op je DNS server

ofwel je domain controller.

Acties:

donderdag 21 april 2005 16:37

ye olde farte

Daarbij zijn die records niet in die vreemde DNS server geplaatst omdat je daar geen access op kreeg om in te schrijven (Rcode 5)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

donderdag 21 april 2005 16:48

Topicstarter

Wederom bedankt (er daagt inmiddels wat begrip, dus had het inmiddels al opgelost)

Inmiddels heb ik gezien dat de meeste GOT'ers hun dns-domeinen geen bestaande topdomein naam geven, maar iets als local. Wat ik zo lees is het omdat het veiliger zo zijn, maar problemen kan veroorzaken met laptops die exchange nodig hebben.

Is het met alle strenge security settings van de geintegreerde AD/DNS van W2k3 nog steeds aan te raden om toch met iets van local te werken?

Acties:

donderdag 21 april 2005 20:07

ye olde farte

max3D schreef op donderdag 21 april 2005 @ 16:37:
Inmiddels heb ik gezien dat de meeste GOT'ers hun dns-domeinen geen bestaande topdomein naam geven, maar iets als local. Wat ik zo lees is het omdat het veiliger zo zijn, maar problemen kan veroorzaken met laptops die exchange nodig hebben.

Nou nee hoor, daar heeft het niet echt mee te maken.
Binnen Exchange kan ik domain.nl gewoon gebruiken (als ik die geregistreerd heb) terwijl mijn AD .lan / .local / .whatever heet.
+ met alternative UPNs kan je ook een boel gemakkelijk maken

Is het met alle strenge security settings van de geintegreerde AD/DNS van W2k3 nog steeds aan te raden om toch met iets van local te werken?

Als ik me goed herinner is zelfs .local niet eens een RFC compliant .tld, maar zou je .lan oid moeten gebruiken in dat geval.
* alt-92 weet t zo niet op te zoeken

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

donderdag 21 april 2005 22:19

Certified Prutser

.local is geclaimed door Microsoft

Acties:

donderdag 21 april 2005 22:33

Topicstarter

Die problemen met Exchange verzin ik niet. Dat haal ik uit teksten als

Some people prefer using different names for internal and external domains. This is the perspective of those who look at the problem from the single vantage point of DNS security. A DNS suffix like .corp can not be resolved accessed by external network clients because it is not a publicly available top level domain name.

However, whatever security advantages that may be gained by this DNS design are mitigated by the complications and user dissatisfaction you’ll encounter when using different domain names for internal and external network resources.

For example, employees must remember two different FQDNs. One of the domain names must be used when they access internal network resources from remote locations and the second domain name is used when users are directly connected to the corporate network.

Imagine a scenario in which an extranet SharePoint Web Site is set up exclusive use of external clients. When internal network clients try to connect to the server using the external FQDN of the extranet Web site, the DNS query resolves the name to the external IP address of the published Web site on the ISA Server 2000 firewall, the connection attempt will fail depending on the type of client.

If the connection request is from a Web Proxy or Firewall client, the request will be loop back through the proxy or firewall services. But, if the connection attempt is from a SecureNAT client, the connection will fail because the client is expecting a response from the Web server, not the ISA Server 2000 firewall. Another significant problem is that resources are needlessly consumed on the ISA Server 2000 firewall when internal network clients loop back through the external interface of the firewall to access internal network resources.

Another source of difficulty arises when you try to use secure Exchange RPC publishing to allow external full MAPI Outlook clients to connect to an internal Exchange Server. These clients must use DNS name resolution to resolve the host name for the Exchange Server to the external IP address of the ISA Server 2000 firewall.

For example, the Exchange Server’s internal FQDN is exchange.example.com. When an Outlook client makes an initial RPC connection to the Exchange Server, the client resolves the name and places the host portion of the name (EXCHANGE, in the example) in the Outlook configuration dialog box. Using different internal and external domain names creates an unsupportable situation for laptop users who move between the internal network and remote locations on a regular basis.

Each time the laptop user connects to the Exchange Server, the laptop computer must be able to access the Exchange Server based on the laptop’s current location. When the user is located on the corporate network, the Outlook client connects directly to the Exchange Server using the internal address of the Exchange Server computer. When the user is located at a remote location, Outlook must connect to the Exchange Server using the IP address on the external interface of the ISA Server 2000 firewall being used by the secure Exchange RPC Publishing Rule. The laptop user could reconfigure a Hosts file entry every time the laptop is moved between locations, but this creates considerable inconvenience for the laptop user and lead to significant user dissatisfaction and reduced productivity.
Het hele artikel over het dilemma split namespace of niet en hoe dan wel staat hier http://www.isaserver.org/...re/9dnsinfrastructure.htm

Ik heb nu al heel wat gelezen over de voor- en nadelen, maar ik was dus benieuwd naar het uiteindelijk oordeel van de deskundigen hier. Als security geen probleem is in mijn huidige setup met mijndomein.mijnsite.nl als DNS domain en mijnsite.nl als extern gehoste url dan ga ik daar voor.

Acties:

donderdag 21 april 2005 23:09

ye olde farte

* alt-92 gebruikt ook z'n eigen domain gewoon hoor..
Het kan zonder al teveel problemen (zolang je splitbrain DNS doet).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

elevator

Officieel moto fan :)

IMHO is voor een simpele, kleine site het gebruik van een .local of een .lan het meest simpele

vrijdag 22 april 2005 07:38

Acties:

vrijdag 22 april 2005 13:45

Certified Prutser

Ik thuis ook een maildomain gedraait met de extensie die ik ook geregisteerd heb op internet. Dit ging zonder problemen echter moet je er wel voor zorgen dan dat je DNS server niet publiekelijk toegangkelijk is anders ligt inderdaad je hele LAN op het internet zeg maar om te resolven. Maar dat is gewoon goed implementeren , genoeg security whitepapers etc lezen. Local wordt vaak gebruikt om een splitsing te maken tussen WAN / LAN. Zodat niet door gebruikersfouten opeens een fileserver resolvebaar is op het internet etc.....Je kunt rustig het geregistreerde domainname gebruiken hou er echter wel rekening mee dat een gebruikersfout snel gemaakt is

Acties:

vrijdag 22 april 2005 14:13

Topicstarter

Dank voor de inzichten; ik zal er nog eens goed over nadenken of ik wel zo'n splitbrain structuur wil opzetten én onderhouden.

Het eerder beschreven probleem dat ik NetLogon errors krijg over dynamic deletion fails bij een externe DNS server van mijn oude dns domain is toch niet opgelost. Ondanks /dnsflush en /dnsregister staan er na iedere herstart van de server iets van 12 fouten in het eventlog met deze klacht.

[Deze klacht dus: The dynamic deletion of the DNS record '_kerberos._udp.studiopc.com. 600 IN SRV 0 100 88 pundit.studiopc.com.' failed on the following DNS server:
maar dan voor een hele trits records die allemaal bij het niet meer bestaande studiopc.com DNS domain hoorden]

Hoe kom ik daar nu definitief vanaf?

[ Voor 24% gewijzigd door max3D op 22-04-2005 13:47 ]

Acties:

vrijdag 22 april 2005 14:25

ye olde farte

Dan vraag ik me toch af hoe je je active directory of je DNS domain van naam veranderd hebt...

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

vrijdag 22 april 2005 14:44

Topicstarter

Bruut!

AD en DNS gedeinstalleerd via Server Manager. Vervolgens nieuw aangemaakt met nieuwe naam.

[ Voor 9% gewijzigd door max3D op 22-04-2005 14:26 ]

Acties:

Verwijderd

mutsje schreef op donderdag 21 april 2005 @ 16:09:
ipconfig /flushdns
ipconfig /registerdns
deze uitvoeren op je DNS server ofwel je domain controller.

tssk tssk je moet intussen wel weten dat dit niet werkt op een dc mutsje (heerlijk oud collega's flamen

).

op een dc:
net stop netlogon
net start netlogon

vrijdag 22 april 2005 14:48

Acties:

Verwijderd

max3D schreef op vrijdag 22 april 2005 @ 13:45:
Dank voor de inzichten; ik zal er nog eens goed over nadenken of ik wel zo'n splitbrain structuur wil opzetten én onderhouden.

Het eerder beschreven probleem dat ik NetLogon errors krijg over dynamic deletion fails bij een externe DNS server van mijn oude dns domain is toch niet opgelost. Ondanks /dnsflush en /dnsregister staan er na iedere herstart van de server iets van 12 fouten in het eventlog met deze klacht.

[Deze klacht dus: The dynamic deletion of the DNS record '_kerberos._udp.studiopc.com. 600 IN SRV 0 100 88 pundit.studiopc.com.' failed on the following DNS server:
maar dan voor een hele trits records die allemaal bij het niet meer bestaande studiopc.com DNS domain hoorden]

Hoe kom ik daar nu definitief vanaf?

84.244.132.42 dat is je ip op je server? zo nee, dan staat je nog steeds naar je isp records toe te spugen... (en dat verklaard dan ook direct de "bad key" record. aangezien je een ms specifieke record wil toevoegen).

vrijdag 22 april 2005 18:26

Acties:

vrijdag 22 april 2005 18:51

Topicstarter

net stop / start netlogon had ik al gedaan. IP is van mijn externe provider die www.studiopc.com host.

Het dns domain studiopc.com heb ik gisteren al verwijderd, dus ik zou niet weten hoe ik nog iets die kant op kan spugen. Hij wil die records ook verwijderen vlgs de foutmelding.

Voorbeeld foutmelding:
The dynamic deletion of the DNS record 'DomainDnsZones.studiopc.com. 600 IN A 192.168.1.150' failed on the following DNS server:

DNS server IP address: 84.244.132.42
Returned Response Code (RCODE): 5
Returned Status Code: 9017

Nog weer eens gedubbelchecked, maar a) mijn huidige DNS domein heet spcdomain.studiopc.com en b) er is maar één DNS ingevuld op de networkadaptor in de server en wel het eigen IP.

[ Voor 45% gewijzigd door max3D op 22-04-2005 18:37 . Reden: foutmelding toegevoegd ]

Acties:

sanfranjake

Computers can do that?

Heb je de oude dns-zones al verwijderd op de dns-server? En heb je op de clients als enige dns de server, op de server 127.0.0.1, en in de forwarders provider-dns?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 22 april 2005 19:41

Acties:

vrijdag 22 april 2005 20:16

Topicstarter

sanfranjake schreef op vrijdag 22 april 2005 @ 18:51:
Heb je de oude dns-zones al verwijderd op de dns-server? En heb je op de clients als enige dns de server, op de server 127.0.0.1, en in de forwarders provider-dns?

Bij het verwijderen van de DNS 'role' zijn keurig de oude dns-zones verwijderd. De clients hebben alleen het server IP als DNS, de server staat op zijn eigen IP adres (goed idee omdat via 127.0.0.1 te doen trouwens; vereenvoudigt straks de configuratie van een hot spare machine).

In de forwarders heb ik de provider-dns niet ingevuld, omdat de literatuur meldt dat het eigenlijk betrouwbaarder is om gewoon de default rootservers te gebruiken. Kan ik veranderen als je denkt dat dit het probleem is.

Acties:

vrijdag 22 april 2005 22:11

ye olde farte

max3D schreef op vrijdag 22 april 2005 @ 19:41:
In de forwarders heb ik de provider-dns niet ingevuld, omdat de literatuur meldt dat het eigenlijk betrouwbaarder is om gewoon de default rootservers te gebruiken. Kan ik veranderen als je denkt dat dit het probleem is.

Mwah.. t'is misschien wel iets betrouwbaarder maar er wordt alleen geen rekening gehouden met caching door je ISP DNS, en het punt dat je dan voor elke query (die niet in de eigen cache staat voor het eerste halfuur) op zoek gaat naar de rootservers.
Als iedereen dat zou doen kan je wel ongeveer raden wat de effecten daarvan worden.

als je DNS forwarders gebruikt beperk je in ieder geval al het aantal hops ( en dus tijd) dat een niet lokaal gevonden record kost om door een andere DNS opgehoest te worden.

En dan hebben we het nog niet eens over de inherent hierarchische, decentrale structuur van DNS, waardoor je juist van ISP DNS of een routerDNS als forwarders gebruik maakt...

Vergelijk het een beetje met ntp; als iedereen de 1e stratum servers zou gebruiken ligt de boel binnen de kortste keren op z'n gat.

[ Voor 17% gewijzigd door alt-92 op 22-04-2005 20:26 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties: