DHCP, DNS, DC: Ablösung durch NAS

    Hallo zusammen


    Ich habe schon mehrere Topics hier zum Thema NAS als DNS und Domaincontroller studiert, benötige aber dennoch noch einmal Euren Rat.

    Ich verwende folgendes Setup:


    Gateway:

    • Typ: AVM FritzBox 7490
    • Betrieb aktuell als DHCP
    • stellt aktuell auch Telefonie und Fax zur Verfügung (über einen Glasfaseranschluss)
    • IP: 192.168.178.1 (fix)
    • Subnet: 255.255.255.0
    • DHCP-Range: .20 - .200
    • lokaler DNS-Server: 192.168.178.10 (das NAS, s.u.)
    • Es gibt keine spezifische IPv6-Konfiguration in der FritzBox für DNS (die hinterlegte IP ist hier die FritzBox)


    001_fritz_ipv4_dhcp_config.PNG          004_fritz_ipv6_dns_config.PNG



    005_fritz_ipv6_dns_config.PNG


    Switch:

    • Typ: TP-Link TL-SG3452P v1.0
    • Betrieb als reiner Switch, keine weiteren Dienste
    • versorgt mehrere AccessPoints mit PoE
    • IP: 192.168.178.5 (fix)
    • Subnet: 255.255.255.0


    NAS:

    • Typ: QNAP TS673A
    • Firmware: 5.0.1.2145
    • DC ist aktiviert
    • Server fungiert als DNS
    • IP: 192.168.178.10 (fix)
    • Subnet: 255.255.255.0
    • Netzwerkadapter 1 ist aktiv (alleinig)
    • Auf Adapter 1 ist IPv4 aktiviert, IPv6 deaktiviert (dazu später mehr)
    • DNS (IPv4)
      • DNS 1: 192.168.178.10 (also das NAS)
      • DNS 2: 192.168.178.1 (also die FritzBox)

    002_nas_ipv4_config.PNG           003_nas_dns_config.PNG


    Clients:

    • Windows 10 Pro, mehrere Geräte
    • fixe DNS-Konfiguration
      • DNS 1: 192.168.178.10 (also das NAS)
      • DNS 2: 192.168.178.1 (also die FritzBox)


    Vorabgeschichte:

    Ich habe den DC erfolgreich installiert.

    Nur mit o.g. Konfiguration ist ein Beitritt der Clients an der Domain möglich.

    Was ich festgestellt habe: die FritzBox scheint den DNS nicht korrekt an die Windows-Clients zu verteilen.

    Meint: hinterlegt man ihn nicht fix (in der FritzBox und an den Clients), wird er nicht gefunden und ein Domainbeitritt ist nicht möglich.

    Zuerst habe ich es ohne Eintrag des DNS in der FritzBox versucht, was aber scheiterte (die Clients konnten der Domain nicht beitreten).

    Daher findet sich in der FritzBox für den IPv4-DNS die IP des NAS.

    Ein Domainbeitritt ist auch nicht möglich, wenn am Client beim verwendeten Netzwerkadapter die IPv6-Unterstützung aktiv ist.

    Das scheint ein verbreitetes Problem zu sein, also habe ich es deaktiviert.


    Problem / Fragestellungen ...:

    Die Situation ist etwas unschön.

    Hintergrund ist, dass ich eigentlich keine fixen Einträge in der DNS-Konfiguration der Clients möchte, weil sich hierunter auch Laptops befinden, die, sofern sie aus dem Hausnetz entfernt werden, natürlich den falschen DNS suchen (und eben keinen DNS automatisch per DHCP zugewiesen bekommen (da fix hinterlegt)).

    Ein Workaround wäre, die Konfiguration beim Verlassen des Hausnetzes dann anzupassen, was ich aber nicht möchte.

    Dazu kommt, dass es unschön ist, an den Clients IPv6 zu deaktivieren; das sollte auch anders gehen ...


    Meine Annahmen sind:

    • die FritzBox verteilt per DHCP die DNS-Konfiguration nicht korrekt (sonst könnten die Clients auch mit dynamischer Zuweisung der Domäne beitreten und hätten "außer Haus" kein Problem, ins Internet zu kommen ...)
    • ggf. habe ich das Problem selbst verursacht, weil ich in der IPv6-Konfiguration der FritzBox etwas falsch gemacht habe.


    Zielsetzung / Überlegung:

    Ggf. wäre es meiner Meinung nach eine Lösung, DHCP an der FritzBox zu deaktivieren und stattdessen den DHCP des NAS zu nutzen; dann liefe alles auf einer Maschine (DC, DNS, DHCP).

    Was ich nicht weiß, ist, wie das NAS das umsetzt und ob es das besser kann, als die FritzBox.

    Kann jemand etwas hierzu sagen?


    Also: würde eine Konfiguration des NAS zusätzlich als DHCP (und Deaktivierung des DHCP an der FritzBox) hier zu dem Erfolg führen, dass ich

    • die Clients wieder mit automatischer Konfiguration (DNS) arbeiten lassen kann?
    • ich IPv6 wieder an den Clients aktivieren kann?

    Wie müssten die Einstellungen auf dem NAS dann korrekt aussehen betreffend folgender Optionen?:

    • IPv6-Konfiguration des Netzwerkadapters 1 am NAS:


    006_nas_ipv6_config.PNG


    • IPv6-DNS-Konfiguration in der FritzBox (s.o.)

    Ich hoffe sehr, dass hier jemand ggf. Rat weiß oder mit zumindest einen Tipp geben kann ...

    Leider habe ich keine passende Antwort hierzu gefunden; sollte ich sie übersehen haben, entschuldige ich mich vorab dafür.


    Vielen Dank für Eure Hilfe.

    Einmal editiert, zuletzt von ja-con ()

    Zitat von ja-con

    Was ich nicht weiß, ist, wie das NAS das umsetzt und ob es das besser kann, als die FritzBox.


    Kann jemand etwas hierzu sagen?

    Ich würde das nicht machen, vor allem nicht DHCP und DNS.

    Keine Ahnung wie "gut" ein QNAP NAS das kann, aber für sowas haben die Geräte mMn eine zu lange und häufige Downtime, zB bei Updates, nach denen man dann hoffen muss, dass alles weiterhin funktioniert.

    Der Router/ Firewall ist ja sowieso da und da gehört sowas auch hin, wenn man nicht gerade einen anderweitigen Server dafür betreibt.

    Zitat von ja-con

    ie müssten die Einstellungen auf dem NAS dann korrekt aussehen betreffend folgender Optionen?:


    IPv6-Konfiguration des Netzwerkadapters 1 am NAS:

    Das NAS als DHCP6 mit RA wird bei dynamischen v6 Präfix sicherlich gar nicht möglich sein...

    Hallo


    Danke erstmal für die Antwort.

    Ein wenig verwirrt es mich dennoch ... DNS muss wegen dem DC auf dem NAS laufen.

    Ansonsten klappt es mit der Domain nicht.

    Lasse ich DHCP weiter auf der FritzBox laufen, bekomme ich keine vernünftige DNS-Zuweisung hin.

    Darüber hinaus muss ich dann (wirklich) DNS an allen Clients manuell konfigurieren ...

    Die Downtime ist kallulierbar.

    Die habe ich auch heute schon bei mehreren NAS.

    Ist das NAS down, funktioniert aber eh nichts mehr, weil es eben als Dateiserver fungiert und als DC (dann kann eh niemand mehr arbeiten, weshalb die Wartungsfenster immer Freitagnachts beginnen (das gibt genug Spielraum)).

    Ist DHCP denn so schlecht implementiert, dass diesem nicht zu trauen ist?

    Wenn ich Dich richtig verstanden habe, hast Du selber aber keine Konstellation wie diese (DHCP, DNS, DC zusammen auf dem NAS) in Betrieb?

    Ich schätze Dein Urteil, suche aber natürlich auch nach Benutzern, die das aktiv nutzen, oder zumidest erfolgreich (oder erfolglos?) aufgesetzt (und ggf. verworfen haben.

    Ich möchte ungern die Live-Umgebung hier zum Test benutzen und suche daher nach Erfahrungswerten :)

    Zitat von ja-con

    Wenn ich Dich richtig verstanden habe, hast Du selber aber keine Konstellation wie diese (DHCP, DNS, DC zusammen auf dem NAS) in Betrieb?

    Nein, das würde mir nicht in die Tüte kommen, dazu traue ich dieser Spielerei zu wenig... es ist halt ein NAS und entsprechend ausgelegt.

    Es gibt ein paar User hier, die das NAS als DC verwenden, aber meist nur in kleinem Umfang.

    Und viele haben damit auch Ärger.

    Wenn schon auf dem NAS, dann würde ich eine Windows VM empfehlen, damit ist man meist sicherer unterwegs.

    Ist dann nur die Frage, ob das NAS dann selbst Mitglied in der Domäne sein kann, denn beim Boot oder ausgeschalteter VM ist der DC nicht erreichbar.

    Jedenfalls überwiegen meiner Meinung nach die Vorteile eines (auch virtuellen) Windows OS gegenüber der QTS Implementation deutlich.


    Gruss

    Danke Euch für Eure Antworten.

    Sehr schade, ich dachte, dass ich das damit vernünftig ablösen könnte.

    Jetzt noch das NAS RAM-seitig aufzurüsten, um dann eine Windows-Server-Installation vorzunehmen (in einer VM) und dazu die passende Lizenz zu kaufen samt CAL sprengt eindeutig den Rahmen.

    Ggf. hat ja doch noch jemand eine "positive" (echte) Erfahrung gemacht?

    Natürlich schenke ich Eurer Meinung Glauben - absolut. Aber irgendjemand muss es ja auch mal versucht haben :)

    ja-con

    Ja hatte ich so im Einsatz bzw. ist vermutlich immer noch so im Einsatz, betreue es aber nicht mehr. Also alles auf einem NAS: DC, DNS, DHCP, sogar GPO und GPP. Geht schon.


    Ich sehe bei Dir zwei Möglichkeiten:


    Wie Du schon selbst festgestellt hast den DHCP auf das NAS verlegen. Das geht. Wenn Du den Lease entsprechend einstellst, dann ist die Downtime des DHCP nur für neue Geräte ein Problem. Die bestehenden Geräte behalten die IP ja trotzdem, auch ohne den DHCP. Aber wie Du schon festgestellt hast, ohne Hauptserver, äh Haupt-NAS geht ohnehin nicht so viel. Anmeldung geht natürlich trotzdem, da das Profil lokal noch vorhanden ist, aber nur für bestehende User, die sich schon mal angemeldet haben. Aber die Daten auf den NAS sind dann eben nicht erreichbar. Von dem her sehe ich da jetzt nicht so ein Problem.


    Willst Du den DHCP auf der Fritzbox belassen, kann man durchaus, dann muss die Fritzbox aber auch den Clients das NAS als DNS-Server mitgeben. Im DHCP würde ich dann das NAS als primären DNS-Server, die Fritzbox als sekundären, kann man da auch einen dritten angeben? Weiß ich gerade nicht, würde dann da auf jeden Fall noch einen externen angeben. Allerdings wenn die Fritzbox die Grätsche gemacht hat geht da ohnehin nichts ins Internet, kann aber nicht schaden. Habe gerade nachgesehen: Fritzbox kennt nur einen DNS-Server für DHCP, den lokalen DNS-Server. Hier müsste dann das NAS bzw. dessen DNS-Server rein.

    Im NAS musst Du dann im DNS die Fritzbox als DNS-Server / Auflöser angeben und vielleicht wiederum einen externen DNS-Server. Du musst Da quasi eine Kette bilden: Vom Client zum NAS, wenn NAS nicht weiß Fritzbox, wenn Fritzbox nicht weiß, extern. Auch auf der Fritzbox muss eine externe Auflösung eingetragen sein, was vermutlich ist, ansonsten wird es schwierig mit Internet. Der DNS-Server des NAS ist aber der einzige DNS-Server der Welt der weiß, welche IP-Adresse zu welchem lokalen Gerät gehört. Ohne den ist keine Anmeldung in der Domäne möglich.

    Wenn das sauber gekappt hat, und übernommen wurde, dann müsstest Du mit dem Befehl ipconfig /all angezeigt bekommen, dass Dein NAS der primäre DNS-Server ist. Dann müsste es eigentlich auch mit dem Einbinden in der Domäne klappen. Läuft das NAS dann aber nicht ist essig mit Internet, weil die ganze Auflösung über das NAS geht, also eigentlich bei beiden Varianten. :/


    Wieso kann Fritzbox nur einen DNS-Server im DHCP mitgeben?


    >> Edit <<

    Gibt da übrigens eine Anleitung von AVM:

    Einmal editiert, zuletzt von Mavalok2 ()

    Vermutlich, weil sich AVM denkt: "Wer es schafft mehr als einen DNS in seinem LAN zu betreiben, der kann sich auch einen eigenen, besseren DHCP-Server aufsetzen." ;)

    Mavalok2 Genau so hab ich es ja eingerichtet ... steht ja auch in meinem Text ;)


    FritzBox ist DHCP, hat das NAS als DNS zum Weiterrechen per DHCP eingetragen.


    NAS hat als DNS1 das NAS selbst, DNS2 die FritzBox.


    Aber: es geht nicht.


    Die FritzBox reicht den DNS (das NAS) nicht automatisch an die Clients


    Ist bei denen automatischer Bezug per DHCP aktiv, ist kein Domänenbeitritt möglich.


    Nur, wenn die DNS fest am Client hinterlegt sind.

    Zitat von ja-con

    Die FritzBox reicht den DNS (das NAS) nicht automatisch an die Clients

    Das kann eigentlich gar nicht sein. Hier wird ja nur die IP des DNS-Server des NAS weitergereicht.

    Was wird unter Windows mit dem Befehl ipconfig /all angezeigt? Funktioniert dann überhaupt das Internet? Dürfte eigentlich nicht, es sei denn es wird ein anderer DNS-Server mitgegeben.

    Ist bei den Clients DNS auch auf automatisch eingestellt? Ansonsten wird der nicht vom DHCP übernommen.

    Wie sieht es bei anderen Geräten z.B. Smartphone oder Tablet aus? Auch keine DNS-Server, bzw. welcher wird hier angezeigt?


    >> Edit <<

    Die neuen Einstellungen müssen auch vom Client übernommen werden. Dies kann mit dem Befehl ipconfig /release und ipconfig /renew gemacht werden. Alternativ in der GUI Netzwerk deaktivieren und wieder aktivieren. Dann müsste der Client die Einstellungen ebenfalls sofort übernehmen.

    Glaub mir, ich habe alles durch ... es ist so.


    ipconfig / release bzw. renew ist übrigens nicht das Mittel der Wahl ...


    Das ist allen voran /flushdns


    Natürlich habe ich alles kontrolliert und auch ein flushdns an den Clients ausgeführt. Clients und NAS mehrfach neu gestartet. Adapter zurückgesetzt.


    Die Clients waren netzwerktechnisch dann quasi jungfräulich.


    Es ist exakt so, wie ich es sage: kein Domainbeitritt, sofern die IP des DNS nicht fix am Client hinterlegt ist.


    Und das sagt: DNS kommt nicht sauber per DHCP an.

    Der DNS wird demnach nicht übernommen von der Fritzbox. Ist auf jeden Fall kein Problem von der QNAP oder dem DC. Dann bleibt ohnehin nichts anderes als DHCP auf das NAS zu verlegen. Da würde ich jetzt nicht den Doktor daraus machen. Ist vermutlich eh besser so.

    Das ist ja genau, was ich sagte 🤷‍♂️


    Meine Frage war ja auch eine andere ... 😊


    Experimente kann ich da nicht (mehr) machen ...


    Daher die Frage nach den konkreten echten Erfahrungen und den Einstellungen, damit DNS sicher und auch wirklich vom NAS per DHCP verteilt werden, und ich IPv6 wieder aktivieren kann :)

    Einmal editiert, zuletzt von ja-con ()

    Weiss jemand wie man die Funktion des DNS-Servers bei QNAP kontrollieren kann?


    ja-con: Das Bild 6 (#1) zeigt ja nur die Netzwerkmaske der QNAP wo Du das NAS als primäre DNS eingetragen hast. Die QNAP ist aber auch der lokal-host und müsste den servername auflösen können.


    NaStrada Wie meinst Du das die "Funktion des DNS-Servers bei QNAP kontrollieren"?

    Du kannst z.B. eine DNS-Query an den Server senden und schauen, ob Du die erwartete Antwort erhältst.

    Zitat von NaStrada

    Weiss jemand wie man die Funktion des DNS-Servers bei QNAP kontrollieren kann?

    z.B. nslookup google.de 192.168.178.10 oder statt google halt irgendeinen Namen. Die IP ist die des DNS Servers der abgefragt werden soll.

    Ich hätte nur gegen einen lokalen TXT record geprüft, weil ich da das Ergebnis vorhersagen kann, wenn ich eine Prüfung mache.

    Bei einem öffentlichen DNS-Anfrage, kann ich nie mit Sicherheit sagen, welche Antwort ich erhalte.

    Sorry ich meinte nur im internen LAN.

    Es geht darum den DC nur intern oder per VPN zu verwenden. Da benötigt man kein Google oder den Umweg über das WAN.


    Für den DC müsste die Namensauflösung intern/extern richtig konfiguriert sein. Habe ich auf der QNAP noch nicht probiert. Scheint aber öfter ein Problem zu sein.

    Einmal editiert, zuletzt von NaStrada ()

    Zitat von NaStrada

    Sorry ich meinte nur im internen LAN.

    Ich auch... dann nimmste statt google.de irgendwas internes von Dir ;)

    Hier frage ich zB meinen DNS Server (10.13.18.1) über VPN unter welcher IP ich meinen unifi Controller (unifi.xxxx.eu) oder meine Firewall (rc100.xxxx.eu) erreichen kann.


    pasted-from-clipboard.png


    Vielleicht verstehe ich aber auch Dein genaues Vorhaben nicht...