[Upgrade 4.2 auf 4.2.1 - DNS löst nicht mehr auf

german
ucs-4-2

#1

Ich machte das Upgrade wie es im UMC aufschien. Ich wählre den Link rechts im Side-Popup. Local am PDC ist die Auflösung möglich, aber bei keinem Rechner im Netz. HyperVserver (2016 Core), Portalpc(WIn10Pro) wurde getestet.
Webserver auf Suse42.1 wird nicht aufgelöst. Mailserver über Ip funktioniert.
Vor dem Upgrade lief alles reibungslos. Solange der PDC nicht abgedreht wurde (über nacht aus) lief nach dem Upgrade auch alles normal. Der PDC ist immer der letze der ausgeschalten wird. BDC ist auf HyperV und auch Upggegradet. Dieser Vorgang dauerte einen Bruchteil des PDC. Wird aber auch nicht aufgelöst. Aktuell läugt ein apt-get clean && aptget update. das Dauert schon lange.

Was kann bei dem Upgrade schief gelaufen sein?


#2

Hallo an alle die sich den Kopf zerbrochen haben, oder das Hirn zermatert.
Ich habe festgestellt, dass mein Pc plötzlich nicht mehr in der Domain gejoined war. Warum auch immer. Ich habe den aus der Domain in die Workgroup geholt, dann versucht mittels nslookup die Domainfunktion zu checken… keine Auflösung bei bmss.intern. Also komisch…
Dann änderte ich im DHCP die DNS einträge von PDC und Gateway auf PDC unf BDC. Danach hob ich den Pc wieder in die Domain bmss.intern. und plötzlich klappte wieder alles. Nun checke ich noch alle Rechner ob einer noch ein Problem dieser Art hat.
Wiso “zufälliger Weise” nach dem Upgrade die Domainverknüpfung des Pcs auf Privat stand und im System trotzdem die Domain eingetragen war. Kann ich leider nicht nachvollziehen.
Windows halt ttztztztz :wink:

Danke und Lg Richie


#3

Ich nehme an der Gateway ist kein UCS-System? Ich kann nur davon abraten nicht-UCS-Systeme als DNS-Server für die Clients zu nehmen (oder zumindest keine DNS-Server ohne AD-Domänen-Informationen). Ich damit auch komische Dinge erlebt.


#4

Hallo SirTux,

Ich habe einen Domaincontroller mit DNS. Mein Gateway ist der DHCP (Router mit WLAN). Ich habe das genaue Problem gefunden. Es lag an der Reverse lookupzone. Diese funktionierer nicht mehr, daher auch kein korrektes nslookup. Frage ist nur, warum funktionierte die nicht mehr nach den Upgrade.

Lösung: Ich habe versucht die RevLookupzone zu löschen. Über RSAT ging das nicht. Reverselookupone nicht löschbar Fehler LSA inkonsistent (weis nicht gg). Über UMC -> Domain -> DNS habe ich es geschafft diese zu löschen und neu angelegt. Tataaaa funktioniert. nslookup funktioniert. Internet und all Auflösungen funktionieren.

Nur wiso um alles in der Welt, was die Rev Zone beschädigt? Wie werden es nie erfahren… schade. Jetzt klappt alles wieder.
Danke Liebe Grüße
RIchie


#6

Das Problem besteht offensichtlich nur in Verbindung mit dem DHCP.

Wenn ich den PDC und den GW eintrage als DNS, dann bekomme ich beim meinem PC (DHCP) keine Domainzuweisung sondern er wählt sich als Privates Netz ein.
Testweise habe ich nun den BDC statt dem PDC eingetragen und es funktioniert normal - soweit ich das jetzt sehe.
Außerdem habe ich PDC und BDC eingetragen, was auch funktioniert. (dann muss aber für die Handys immer die DCs laufen, darum trage ich den GW in den DNS ein, damit mit DHCP auch ohne DCs Internet erreichbar ist - Eigenheit).

Die Server Haben natürlich nur PDC und BDC eingetragen. Im DNS des DC wurde als DNS Weiterleitung auch der GW eingetragen.

Das ist doch ein Indiz, dass der PDC einen Pecker hat. Da er seine Arbeit nicht macht.
Nur was in aller Wellt ist da kaputt. Ich bin schon am Überlegen die Domain komplet in den Müll zu werfen und auf Arbeitsgruppe umzustellen. WEil zuhaus will ich mir das nicht antun solche Spinnereien.

Ich hoffe Ihr habt eine Erfahung die mir helfen kann.
Danke Euch schon mal.
Ps: Ich schaue noch die Logs an :wink:


#7

Was für einen Router ist denn der DHCP? Verteilt er deine Domain als Default-Domain?

Und ich kann mich nur noch mal wiederholen: DNS-Server ohne Domain-Informationen sind keine gute Idee. So lange die Auflösung über den DNS-Servers des Master (oder PDC wie du ihn nennst) funktioniert, ist es sehr unwahrscheinlich, daß er das Problem ist. Was ist also, wenn du nur den Master als DNS-Server verteilst?


#8

Hallo SirTux,
Der DHCP wird von einem 300M Wireless N Gigabit Router
Model No. TL-WR1043ND.
Der verteilt keine Domain. Mein Primary Domain Controller (PDC) ist ein Univention Corporate Server Version 4.2.1 (Domain, Acrive Directory, DNS, CUPS).
Es existiert auch ein Backup Domain Controller (BDC) als Virtuelle Maschine auf HyperV 2016 Core.

Wenn ich den PDC 192.168.0.1 in den Router DHCP eintrage und die Rechner die Rechner neu starte wird in Netzwerk Freigabecenter Privates Netzwerk angezeigt. Wenn ich den BDC 192.168.0.5 eintrage, wird im Netzwerk Freigabecenter Domainnetzwerk angezeigt und die korrekte Domain.

Vor dem Upgrade auf 4.2.1 funktionierte alles Problemlos.
Ich glaube ich habe aus versehen den Upgrade-Prozess zu früh abgedreht (neutstart/shutdown), daher die Probleme.

Lg


#9

Glaubst du? Waren danach Pakate unkonfiguriert oder wie kommst du zu der Annahme?

Funktioniert denn die Replikation zwischden Master und Backup?

samba-tool drs showrepl

Was ist, wenn du den Master mit LDAP-Backend als DNS-Server nimmst?

ucr set dns/backend='ldap'
/etc/init.d/univention-bind restart

#10

Ich glaube ich habe aus versehen den Upgrade-Prozess zu früh abgedreht (neutstart/shutdown), daher die Probleme.
Glaubst du? Waren danach Pakate unkonfiguriert oder wie kommst du zu der Annahme?

Ich weis einfach nicht ob der Upgradevorgang beendet war. da ich keine Meldung bekommen habe. Im 1. Moment habe ich aber keine Probleme festgestellt, erst am nächsten Tag beim Neustart der Rechner war das Auflödungsproblem da.

Funktioniert denn die Replikation zwischden Master und Backup?
Ja ein neuer User oder Dnseintrag wird repliziert.
samba-tool drs showrepl

root@PDC:~# samba-tool drs showrepl
Default-First-Site-Name\PDC
DSA Options: 0x00000001
DSA object GUID: 1b893c9b-60ff-472c-a420-620d3520a67b
DSA invocationId: bfdd2975-45d8-4ca9-8e67-23406f1fd031

==== INBOUND NEIGHBORS ====

DC=ForestDnsZones,DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ Sat Jun 24 18:54:14 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat Jun 24 18:54:14 2017 CEST

DC=DomainDnsZones,DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ Sat Jun 24 18:54:14 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat Jun 24 18:54:14 2017 CEST

DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ Sat Jun 24 18:54:14 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat Jun 24 18:54:14 2017 CEST

CN=Schema,CN=Configuration,DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ Sat Jun 24 18:54:14 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat Jun 24 18:54:14 2017 CEST

CN=Configuration,DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ Sat Jun 24 18:54:15 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat Jun 24 18:54:15 2017 CEST

==== OUTBOUND NEIGHBORS ====

DC=ForestDnsZones,DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=DomainDnsZones,DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Schema,CN=Configuration,DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

CN=Configuration,DC=bmss,DC=intern
Default-First-Site-Name\BDC via RPC
DSA object GUID: 89000e13-5e8d-4e3e-ad54-fd33b0583e4e
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)

==== KCC CONNECTION OBJECTS ====

Connection –
Connection name: 627cdcef-a4d0-4dff-9dc7-d9dd96666bf5
Enabled : TRUE
Server DNS name : bdc.bmss.intern
Server DN name : CN=NTDS Settings,CN=BDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bmss,DC=intern
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!

Was bedeutet dieser Eintrag?

Was ist, wenn du den Master mit LDAP-Backend als DNS-Server nimmst?

root@PDC:~# ucr get dns/backend
samba4

ucr set dns/backend=‘ldap’
/etc/init.d/univention-bind restart —> Gibt’s nicht!

Lg Richie


#11

Das dachte ich mir schon fast. Dann mach es am besten über die UMC. Das hier könnte aber auch funktionieren:

systemctl restart univention-bind 

#12

Morgen,
Master im DHCP eingetragen.
Ich habe nun Bind9 auf ‘ldap’ umgestellt.
Tests. Mit Master: flushdns - release - renew
bzw. Neustart des Pcs. ------> Privates Netz

Backup in DHCP eingetragen:
auf Backup: flushdns - release - renew ----> Domain Netz.
Auflösung des Webservers (www.bmss.intranet) nicht funktioniert.

Bind9 auf 'samba4’eingestellt alles ok. ----> Normalbetrieb.

Da das hier mein Privates Netz ist, überlege ich auf eine Workgroup zurück zu gehen. Spart auch Energiekosten.
Falls Du noch eine Idee hast, was dieses Phänomen erzeugt, bin ich natürlich für alles offen… Mir schwebt nur mehr vor das System komplett neu zu integieren. Das heißt Backup zum Master machen und einen Neuen Backup erstellen.
Da Problem ist, dass ich den Master auf der Physischen Maschine haben will, das wäre danach nicht mehr so. hm

Ich muss auch sagen, ich habe den Univention seit der Version 3 und habe noch nie Probleme gehabt. Alle Upgrades wurden problemlos durchgeführt( bis auf die Dockerumstellung ;-). Daher ist es für mich eher so, dass ich zu voreilig einen Reboot gemacht habe.

Vorerst Danke für Deine Geduld.
Lg Richie


#13

Hast du kein Backup vor dem Upgrade gemacht?


#14

Ich habe Updates nach Univention Anleitung im Handbuch. Aber leider vor dem Upgrade kein Image angefertigt.
am 18. ein Full und danach Incremental Täglich. Nur habe ich das noch nie testweise wiederhergestellt.
Heute habe ich erst wieder am Abend Zeit. Aber das wäre eine Möglichkeit… Wichtig ist ,dass ich das SIcherungslaufwerk abschalte, weil heute wird wieder ein Full gemacht… gg danach ist alles überschrieben… Ich schaue mir das auf alle Fälle noch an… Danke.

Komisch dass man bei Kunden immer ans Backup denkt und wenns mal am Eigenen Rechner zickt, denkt man nicht dran gg

Lg Richie


#15

Ein Backup sollte man natürlich immer machen. Am besten regelmäßig die wichtigen einzelnen Dateien sichern wie du es ja schon machst.

Speziell bei Updates sollte man aber zusätzlich einen LVM-Snapshot anlegen und diesen auch per “dd” sichern und mit Hash verifizieren.

Mit einfachen aber mächtigen Backuptools wie rsnapshot kann man das auch automatisieren.

Für eine weitere Problemdiagnose fehlt mir leider das Wissen, wie dieser Netzwerkerkennungsmechanismus unter Windows genau funktioniert. Aber du könntest auch mal ein neues Windows in eine VM installieren. Vielleicht liegt es ja gar nicht am Master, sondern am Client.


#16

Ja das mit dem Backup war mein Fehler, denn normaler Weise mache ich bei Windows immer ein Image mittels Drivesnapshoot. LVM Snapshoot habe ich noch nie gemacht, wie geht der? dd kenne ich.

Ja ich habe hier 3 Physiche Windows Pcs. und 2 Virtuelle. die Physischen habe ich getestet und das selbe Problem.
Auch ein Insider Preview Win10 habe ich, und 2 Handys Android und Win10.

Ich werde noch ein paar Tests machen… vielleicht kann ich das no mehr eingrenzen. Aber nach den bisherigen Informationen funktioniert - wie anfangs angenommen - der DNS auf dem Master nicht mehr. Obwohl alle Einträge per UMC einsehbar und bearbeitbar sind. Auch die Rechner sind vorhanden auch einen Neuen anlegen und so weiter geht.

Irgend ein Problem bei der Anmeldung der Clients in der Domain - in Bezug auf Master - funktioniert nicht.
Eine Frage noch: Kann man den Master über die DVD reparieren lassen (Reperaturinstallation) ?

Aktuell ist der Backup im DHCP eingetragen und alles funktioniert wie soll. Eine Information habe ich noch gg
die Fix vergebenen IPs funktionieren, aber wahrscheinlich auch nur deswegen weil im DNS der Fixen IPs Master und Backup eingetragen sind.

Test Fixe Ip und nur den Master = NOK
Ich habe in der InsiderPV auf Fixe Ip umgestellt und nur den Master angegeben.
Sofort startete die Problemlsuche und beendete mit der Meldung: “Der DNS antwortet nicht”

Ok … Kann man die DNS Rolle des Master reparieren (neuinstalltion der Rolle?), wenn Ja wie?
Lg Richie


#17

Zu LVM-Snapshots mußt du einfach mal googlen. Das ist kein Hexenwerk. Man diese auch restoren (d.h. ohne dd), danach mußt du aber explizit suchen, in den meisten Aleitungen steht dazu nichts.

Leider gibt es keinen Reperatur-Modus, das Problem müssen wir schon manuell in den Griff bekommen. Du schreibst der DNS auf dem Master funktioniert nicht. Das heißt also, du kannst keine Hostnamen auf dem Master auflösen? Also weder interne noch externe? Das war mir nömlich nicht klar.

In dem Fall wär der Inhalt folgender Datein interessant. Bitte ohne Paßwörter posten:

cat /etc/bind/univention.conf.d/*

#18

Ich hab gestern ein dd auf eine Extrne HDU gemacht… hat geklappt gg

DNS: Ja ich habe - wie Du unten siehst - eine Intranet Zone. Diese und alle Hostnamen auch die Full Qualified Doman Names - Hostname.doman.intern , lösen nicht auf.
Wenn ich am Master bin und nslookup ausführe, egal wohin geht’s (Von dort weg). nur Reverse nicht. also vom CLient zum PDC.bmss.intern zB. = Timeout. Ich habe schon die ReverselookupZone neu angelegt, da ich glaubte die wäre kaputt. aber leider nicht. Auch wenn ich neu in die Domain gejoined hatte, habe ich gedacht es funktioniert wieder. leider nur 1x. Ich habe sowas noch nie erlebt, bissl Erfahrung hab ich auch schon aber das ist hartnäckig.

Server Unknown
Address: 192.168.0.1
DNS request timed out.

root@PDC:/etc/bind# cat univention.conf.d/*
zone “0.168.192.in-addr.arpa” {
type master;
notify yes;
database “ldap ldap://127.0.0.1:7389/zoneName=0.168.192.in-addr.arpa,cn=dns,dc=bmss,dc=intern!!!bindname=cn =PDC%2ccn=dc%2ccn=computers%2cdc=bmss%2cdc=intern,!x-bindpw=”;
};
zone “0.168.192.in-addr.arpa” {
type slave;
file “0.168.192.in-addr.arpa.zone”;
masters port 7777 { 127.0.0.1; };
};
zone “bmss.intern” {
type master;
notify yes;
database “ldap ldap://127.0.0.1:7389/zoneName=bmss.intern,cn=dns,dc=bmss,dc=intern!!!bindname=cn=PDC%2ccn=d c%2ccn=computers%2cdc=bmss%2cdc=intern,!x-bindpw=”;
};
zone “bmss.intern” {
type slave;
file “bmss.intern.zone”;
masters port 7777 { 127.0.0.1; };
};
zone “bmss.intranet” {
type master;
notify yes;
database “ldap ldap://127.0.0.1:7389/zoneName=bmss.intranet,cn=dns,dc=bmss,dc=intern!!!bindname=cn=PDC%2ccn =dc%2ccn=computers%2cdc=bmss%2cdc=intern,!x-bindpw=”;
};
zone “bmss.intranet” {
type slave;
file “bmss.intranet.zone”;
masters port 7777 { 127.0.0.1; };
};
root@PDC:/etc/bind#


#19

Das klingt dann nach einem Firewall-Problem. Was ist die Ausgabe von

ucr search packetfilter

Gibt es relevante Logs bei DNS-Anfragen:

journalctl -xef

#20

Hallo SirTux,

Ich habe das Problem gefunden. Warum auch immer…
Ich habe PS -aux | grep dns eingeben um den Prozess zu kontrollieren. Er wurde auch angezeigt.
Ich versuchte den Prozess mit kill -9 Pid zu killen. - Testweise. Klappte nicht. Fehler : Nicht vorhanden.
Auf das hinauf habe ich Service bind9 start eingebeben und danach Status abgefragt. läuft.
Danach habe ich einen Neustart gemacht und Status abgefragt. dead.
danach habe ich systemctl enable bind9.service eingegeben und reboot …
Status … läuft.
Dann habe ich in der InsiderPV mit fixer IP gestetet dns Master. geht.
Dann habe ich im DHCP auf Master umgestellt. alles ausgeschalten und neu gestartet… geht.

Problem behoben. Warum der bind nicht automatisch gestartet wurde ist mir ein Rätsel.
Außerdem habe ich am Master in Status nach named einige Einträge die ins Internet verweisen.

Beispiel:
root@PDC:~# service bind9 status
● bind9.service - BIND Domain Name Server
Loaded: loaded (/lib/systemd/system/bind9.service; enabled)
Drop-In: /run/systemd/generator/bind9.service.d
└─50-insserv.conf-$named.conf
Active: active (running) since Mon 2017-06-26 21:40:37 CEST; 27min ago
Docs: man:named(8)
Main PID: 648 (named)
CGroup: /system.slice/bind9.service
└─648 /usr/sbin/named -f -u bind

Jun 26 21:59:49 PDC named[648]: error (network unreachable) resolving ‘ns-com.ui-dns.biz/A/IN’: 2001:500:3682::12#53
Jun 26 21:59:49 PDC named[648]: error (network unreachable) resolving ‘ns-1and1.ui-dns.biz/A/IN’: 2001:8d8:f…100#53
Jun 26 21:59:49 PDC named[648]: error (network unreachable) resolving ‘ns-com.ui-dns.biz/AAAA/IN’: 2001:500:…:12#53
Jun 26 21:59:49 PDC named[648]: error (network unreachable) resolving ‘NS-BIZ.UI-DNS.DE/A/IN’: 2001:8d8:fe:5…100#53
Jun 26 21:59:49 PDC named[648]: error (network unreachable) resolving ‘ns-1and1.ui-dns.biz/AAAA/IN’: 2001:8d…100#53
Jun 26 21:59:49 PDC named[648]: error (network unreachable) resolving ‘ns-com.ui-dns.biz/A/IN’: 2001:503:e239::3:2#53
Jun 26 21:59:49 PDC named[648]: error (network unreachable) resolving ‘ns-com.ui-dns.biz/AAAA/IN’: 2001:503:…3:2#53
Jun 26 22:00:40 PDC named[648]: error (network unreachable) resolving ‘ns1.comododns.net/A/IN’: 2a02:1788:0:…405#53
Jun 26 22:00:40 PDC named[648]: error (network unreachable) resolving ‘ns1.comododns.net/AAAA/IN’: 2a02:1788…405#53
Jun 26 22:03:49 PDC named[648]: error (network unreachable) resolving ‘mail.telering.at/A/IN’: 2001:678:20::10#53
Hint: Some lines were ellipsized, use -l to show in full.
root@PDC:~#

Die habe ich am Backup nicht. Was ist das? Ist das normal oder habe ich ein Problem?
Soweit funktioniert alles… mal schaun obs morgen auch noch funktioniert.

Danke für Deine Hilfestellung
Lg Richie


#21

Freut mich, daß du den Fehler finden konntest. Zu den Meldungen kann ich nicht viel sagen. Kannst du die Namen den manuell auflösen mit dem Master-DNS-Server? $MasterIP mußt du mit der IP-Adresse des Masters ersetzen.

nslookup mail.telering.at $MasterIP