Ich habe ein System (SYSTEMX), das über ein VPN mit unserem Netzwerk verbunden ist. In regelmäßigen Abständen wird die VPN-Verbindung getrennt und SYSTEMX verliert seine Verbindung zum Netzwerk. Wann dies geschieht, erfahre ich normalerweise ganz einfach anhand eines Protokolls, das während einer nächtlichen Aufgabe generiert wird, die fehlschlägt, weil das System offline ist.
Ich pinge das System mit „ping SYSTEMX“ an und erhalte wie erwartet Timeouts. Verbinde das VPN erneut und es kann losgehen.
Zweimal lieferte das Protokoll jedoch unterschiedliche Ergebnisse, da ein neues System (SYSTEMSTEALTH) hinzukam und dieselbe IP-Adresse auflöste, die SYSTEMX zugewiesen wurde.
Ich pinge „ping SYSTEMX“ und siehe da, es kommen Antworten rein.
Wenn ich „nslookup SYSTEMX“ und „nslookup SYSTEMSTEALTH“ ausführe, werden beide Namen in dieselbe IP-Adresse aufgelöst.
Ich bin kein Experte für Netzwerktopologie, aber meiner Meinung nach sollte bei der Verteilung einer neuen DHCP-Lease eine Kommunikation mit dem Nameserver erfolgen, um veraltete Einträge für diese Adresse zu entfernen und so Szenarien dieser Art zu verhindern.
Hat jemand Vorschläge oder kann er einen Weg aufzeigen, wie man das verhindern kann? Ich arbeite mit meiner IT-Abteilung an der Lösung dieses Problems. Ihr aktueller Standpunkt ist, dass es in Ordnung ist, da SYSTEMX nicht im Netzwerk ist, hinter dem SYSTEMSTEALTH kommt, und alles gut ist. Allerdings ist es nicht richtig, SYSTEMX „anpingen“ zu können, eine Verbindung herzustellen und mithilfe von Administratorfreigaben Dateien darauf freizugeben, da SYSTEMX eigentlich SYSTEMSTEALTH ist.
Ich danke Ihnen für Ihre Hilfe.
Antwort1
Was passiert, ist, dass die VPN-Lösung jedes Mal, wenn eine neue Verbindung gewährt wird, einen neuen PTR-Eintrag registriert. Dies kann übrigens auch in jeder Umgebung passieren, in der dynamische DNS-Updates zulässig sind. Wenn Sie also auf IP-Basis abfragen, gibt es mehrere PTR-Einträge, da, wie bereits erwähnt, die alten nicht bereinigt wurden. Wenn Sie also nslookup auf IP-Basis durchführen, erhalten Sie einen der PTR-Einträge, der möglicherweise nicht dem richtigen Computernamen entspricht.
Wie bereits erwähnt, werden die alten PTR-Einträge irgendwann gelöscht, wenn der DNS-Server auf Aufräumen eingestellt ist. Dies dauert jedoch einige Zeit. In einer standardmäßigen DNS-Konfiguration von Windows Server 2003 kann dies beispielsweise einige Wochen dauern (sobald das Aufräumen aktiviert ist).
Und wie bereits erwähnt, haben wir festgestellt, dass DHCP-Reservierungen in den Fällen, in denen es für uns wirklich wichtig war, der richtige Weg waren. In Fällen, in denen dies nicht der Fall war, haben wir die IP gepingt, überprüft und dann ein nbtstat -a ausgeführt.IP Adresseum zu sehen, welches Windows-System wirklich auf diese IP geantwortet hat.
Antwort2
Die DNS-Einträge werden bereinigt, aber je nachdem, wie komplex Ihre Topologie ist, kann es einige Zeit dauern, bis diese Änderungen repliziert werden. In diesem Szenario wäre es sinnvoll, eine Reservierung einzurichten, um sicherzustellen, dass Ihre IP-Adresse für SYSTEMX nur für diesen Computer reserviert ist.
Antwort3
Dies ist ein häufiges Problem bei Remote-Access-Lösungen. Pass-Through-DHCP soll dieses Problem lösen, wird aber häufig nicht verwendet, da es weniger zuverlässig ist als das integrierte DHCP eines VPN-Produkts. Viele dieser integrierten Produkte weisen nicht an, entsprechende DNS-Einträge zu entfernen, wenn ein Client die Verbindung trennt.
Um dies zu beheben, haben manche Leute ipconfig /registerdns an das Ende ihrer Anmeldeskripte angehängt, die bei erfolgreicher VPN-Verbindung ausgeführt werden. Dies entfernt jedoch immer noch keinen alten fehlerhaften Eintrag. Mir ist derzeit kein Drittanbieter bekannt, der dieses Problem löst, und daher lasse ich normalerweise einen Kunden seine IP-Adresse bestätigen.
Antwort4
Das ist sicherlich ein sehr häufiges Problem. Auf der Synergix-Website www.synergix.com gibt es ein Whitepaper zu diesem Thema. Im Grunde besteht die Idee darin, dass der Client-Rechner die Selbstverwaltung durchführt, indem er alle zuvor registrierten Einträge entfernt. Auf diese Weise müssen Sie das DNS-Bereinigungsintervall nicht auf den von Ihnen festgelegten Wert neu einstellen. Die Software Active Directory Client Extensions von Synergix erledigt diese Aufgabe elegant.
DD