Site Magic und DNS

HSeffers · June 12, 2024 at 7:34 AM

Hallo,

ich habe ein Problem mit AD bzw. DNS zwischen zwei Sites die mit Site Magic verbünde sind.

Es funktioniert sonst alles.

Aber DNS Auflösung durch die Verbindung geht einfach nicht.

Die Clients auf Site 1 bekommen zwar die DNS Server, die auf der Site 2 vorhanden sind, zugewiesen und können deren IP's auch pingen.

Aber die Namenauflösung funktioniert nicht.

Ich habe auch versucht das domain based forwarding zu nutzen und habe für die interne Domäne ***.local eine DNS Weiterleitung eingerichtet auf einen der Remote-DNS-Server.

Habe dann die UDM als DNS zuweisen lassen.

mDNS ist ausgeschaltet.

Aber leider auch damit keinen Erfolg.

Bisher habe ich dazu auch nichts gefunden.

Geht das grundsätzlich gar nicht?

Dann ist es ja blöd damit ein AD zu betreiben...

Vielen Dank schon mal.

Gruß!

Holger

HSeffers · June 12, 2024 at 9:45 AM

Fehler selber gefunden. Ist noch eine xxx.local Domäne die mit mDNS kollidiert.

Fragt sich, ob man es nicht doch hinbekommt durch die UDM?

Schon jemand Erfahrung gemacht damit?

Danke!

DoPe · June 12, 2024 at 10:18 AM

Für was brauchst DU denn in einem Firmennetz mDNS? Und inwiefern kollidiert das AD DNS mit mDNS?

Ich hätte jetzt eher drauf spekuliert, dass da was mit den DNS Suffixen klemmt.

**gierig** · June 12, 2024 at 11:04 AM

Quote from HSeffers

Ist noch eine xxx.local Domäne die mit mDNS kollidiert.

Warum im Namen des Heiligen Schutzpatron der IP Pakete willst du ".local" nutzen ?

die ist / wird quasi ausschließlich auch nur LOCAL benutzt, die wird quasi auch nur

von MDSN genutzt und anfragen an .local forciert and an die 224.0.0.251 zu schicken.

Warum der Unsinn ?

DoPe · June 12, 2024 at 1:35 PM

Quote from gierig

Warum im Namen des Heiligen Schutzpatron der IP Pakete willst du ".local" nutzen ?
die ist / wird quasi ausschließlich auch nur LOCAL benutzt, die wird quasi auch nur
von MDSN genutzt und anfragen an .local forciert and an die 224.0.0.251 zu schicken.
Warum der Unsinn ?

Das war mal Gang und Gebe bei Windows AD Domänen. Das dürfte aus NT Zeiten stammen, als Internet quasi kein Thema war. Manche Domänen sind halt wirklich so alt, manche sind neuer und trotzdem so benannt worden. Kann man ja auch nicht einfach mal eben umbenennen und wenn man kein mDNS benötigt, dann störts auch nicht. Die meisten Geräte die das nutzen fallen vermutlich auch in die Kategorie "Bleibt mal schon aus dem Firmennetz"

HSeffers · June 12, 2024 at 1:53 PM

Quote from gierig

Warum im Namen des Heiligen Schutzpatron der IP Pakete willst du ".local" nutzen ?
die ist / wird quasi ausschließlich auch nur LOCAL benutzt, die wird quasi auch nur
von MDSN genutzt und anfragen an .local forciert and an die 224.0.0.251 zu schicken.
Warum der Unsinn ?

Naja, der Unsinn ist ja nicht auf meinen Mist gewachsen. Das war schon so als ich hier anfing.

Und man kann ja nicht mal eben eine neue Domäne bauen und umziehen.

Problem ist halt, dass es mit dem Site Magic nicht funktioniert.

Es kommt halt bei dig die Meldung, die Hinweise liefert.

dig @192.168.2.184 server.domain.local

; <<>> DiG 9.10.6 <<>> @192.168.2.184 server.domain.local

; (1 server found)

;; global options: +cmd

;; Got answer:

;; WARNING: .local is reserved for Multicast DNS

;; You are currently testing what happens when an mDNS query is leaked to DNS

;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 56743

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

Auch wenn ich an allen möglichen Stellen in der UDM mDNS ausschalte.

**gierig** · June 12, 2024 at 3:32 PM

Unsinn bleibt Unsinn auch wenn man ihn nicht selber verzapft hat

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Quote from HSeffers

WARNING: .local is reserved for Multicast DNS

Auch DIG ist der Meinung das es keine gute Idee ist...

DNSMasq wird auf der UDM als DNS/DCHP verwendet, keine Ahnung

ob man ihm überreden kann (an unifi vorbei) DNS anfragen für .local zuzulassen / weiterzuleiten.

Denke aber nicht und der Lokale DNSMasq sperrt sich gegen den Unsinn...

Mit den ganzen Geräten wie Drucker, Scanner, Telefone, Pad,

(win)Freigaben, Steuerung über thread usw. Macht das auch nicht viel Sinn

wenn man IT Technisch nicht Inder Steinzeit wohnen will...

Quote from HSeffers

Und man kann ja nicht mal eben eine neue Domäne bauen und umziehen.

Tja...Rechnung an den Verzapfer wird wohl nicht helfen. Abe das Kind ist im Brunnen.

Hilf ihn und Schütt nicht noch mehr Wasser drauf. Du wirst nicht glücklich werden mit

einer ".local" Domain. Völlig unabhängig von Unifi oder anderen Lösungen im Netzwerk / VPN.

Simsi1986 · January 10, 2025 at 12:55 AM

Schließe mich mal an bzw. vorbereitend für den Umzug meines Servers von Site A nach B habe ich denke ich schon eine Lösung.

Bei mir ist auch historisch .local vorhanden (obwohl zum Zeitpunkt der Einrichtung der Server Essentials Role als Nachfolger des Windows Home Servers MS selbst eine andere Best Practice beschrieben hat wurde die Domäne als .local angelegt - stört mich mittlerweile auch, aber vorerst möchte ich das AD nicht komplett aufbauen, dass folgt noch). Muss aber fairerweise sagen, dass die Domainmitglieder hier sich in Grenzen halten und ich da bisher DNS manuell in den Netzwerkeinstellungen hinterlegt habe (Main = DC und Backup Gateway).

Möchte man es automatisiert sehe ich die Lösung darin, ein VLAN mit entsprechender DHCP-Konfiguration (entweder UniFi oder Windows Server) in dem sich ausschließlich Domain Members aufhalten, ggf. zwei zur Trennung von Clients und Servern. DHCP würde dann entsprechenden DNS-Server mitgeben.

Wäre interessant, ob du noch mit dem Problem zu schaffen hast HSeffers

Grundsätzlich ist noch wichtig zu wissen, wie du die IPs der Domain-Member verteilst - DHCP via Windows Server oder Ubiquiti und ob IPv6 genutzt wird (letzteres ist dann entscheidend, wenn du bloß DHCPv4 auf Windows Server aktiviert hast und dem Netzwerk in Ubiquiti DHCPv6 zugewiesen hast, letzteres würde dann den DNS von UniFi zugewiesen bekommen).

Bei mir wird die Lösung sein, dass ich den DNS-Server manuell eintrage und ein Client auf Site A durch Site Magic Zugriff auf den DNS platziert an Site B hat und ich davon ausgehe, dass es dann funktioniert da ich die Subnetze zwischen den Sites erreichen kann.

Aufbau ist, dass ich die VLAN-IDs identisch aufgebaut habe - sprich an beiden Sites gleiche ID, aber eben die Subnetze einmalig (ein /24 pro VLAN, innerhalb eines /16 - also z.B. Site A = 10.10.0.0/16, VLAN 1 hat 10.10.1.0/24, VLAN 10 hat 10.10.10.0/24 usw). Hilft ein wenig den Überblick zu behalten und unabhängig vom Site Magic entsprechendes Routing zu setzen (praktischerweise muss man nur die beiden /16 auf das Gateway des jeweiligen VLANs setzen, dann sorgt UniFi und Site Magic schon dafür, dass die Pakete entweder innerhalb der Site oder via Site Magic an die andere Site übermittelt wird). Muss dazu erwähnen, dass ich bei mir mDNS vorerst deaktiviert habe, auch um zu vermeiden dass es mit .local Probleme gibt und in den VLANs mit aktiviertem DHCP von Ubiquiti das Domain Suffix leer lasse - dies habe ich nur bei den Domain Members in den Netzwerkeinstellungen direkt gesetzt - entspricht dem FQDN des AD.

Participate now!