Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows 2008 Domain Server - DNS Auflösungsprobleme nach extern

Frage Netzwerke DNS

Mitglied: mfernau

mfernau (Level 1) - Jetzt verbinden

19.07.2012 um 10:42 Uhr, 8339 Aufrufe, 6 Kommentare

Guten Morgen,

ich habe öfter mal Probleme mit den DNS-Servern meiner Windows 2008 Instanzen. Es kommt hin und wieder mal vor (auch bei Kunden), dass der DNS-Server manche Domains nicht auflösen möchte (obwohl es funktionieren müsste).
Äußern tut sich das meistens durch nicht erreichbare oder nur halb aufgebaute Internet Seiten.
Die Lösung ist simple: DNS-Cache löschen. Danach funktioniert es in 99.9% der Fälle wieder. Aber es nervt einfach...

Ein Beispiel gerade bei mir in der Firma:
Ich möchte www.conrad.biz aufrufen und bekomme die Fehlermeldung: Firefox can't find the server at www.conrad.biz.

Gut, schnell mal in die Konsole von meinem Arbeitsplatz (linux) gegangen und folgendes probiert:
--- cut
$ dig www.conrad.biz +trace

; <<>> DiG 9.8.1 <<>> www.conrad.biz +trace
;; global options: +cmd
. 3600 IN NS l.root-servers.net.
. 3600 IN NS k.root-servers.net.
. 3600 IN NS j.root-servers.net.
. 3600 IN NS i.root-servers.net.
. 3600 IN NS h.root-servers.net.
. 3600 IN NS g.root-servers.net.
. 3600 IN NS f.root-servers.net.
. 3600 IN NS e.root-servers.net.
. 3600 IN NS d.root-servers.net.
. 3600 IN NS c.root-servers.net.
. 3600 IN NS b.root-servers.net.
. 3600 IN NS a.root-servers.net.
. 3600 IN NS m.root-servers.net.
;; Received 509 bytes from 10.0.0.5#53(10.0.0.5) in 4 ms

biz. 172800 IN NS c.gtld.biz.
biz. 172800 IN NS e.gtld.biz.
biz. 172800 IN NS a.gtld.biz.
biz. 172800 IN NS k.gtld.biz.
biz. 172800 IN NS f.gtld.biz.
biz. 172800 IN NS b.gtld.biz.
dig: couldn't get address for 'c.gtld.biz': not found
--- cut

Der DNS-Server (in diesem Fall ein Windows 2008 R2) findet also c.gtld.biz nicht?
Kurze Gegenprobe auf einem Root-Server von mir (der seinen eigenen BIND DNS-Server hat):
--- cut
  1. dig www.conrad.biz +trace @6649

; <<>> DiG 9.7.3 <<>> www.conrad.biz +trace @6649
;; global options: +cmd
. 3600000 IN NS B.ROOT-SERVERS.NET.
. 3600000 IN NS K.ROOT-SERVERS.NET.
. 3600000 IN NS M.ROOT-SERVERS.NET.
. 3600000 IN NS J.ROOT-SERVERS.NET.
. 3600000 IN NS E.ROOT-SERVERS.NET.
. 3600000 IN NS L.ROOT-SERVERS.NET.
. 3600000 IN NS F.ROOT-SERVERS.NET.
. 3600000 IN NS C.ROOT-SERVERS.NET.
. 3600000 IN NS A.ROOT-SERVERS.NET.
. 3600000 IN NS G.ROOT-SERVERS.NET.
. 3600000 IN NS D.ROOT-SERVERS.NET.
. 3600000 IN NS H.ROOT-SERVERS.NET.
. 3600000 IN NS I.ROOT-SERVERS.NET.
;; Received 228 bytes from 1.2.3.4#53(1.2.3.4) in 0 ms

biz. 172800 IN NS a.gtld.biz.
biz. 172800 IN NS b.gtld.biz.
biz. 172800 IN NS c.gtld.biz.
biz. 172800 IN NS e.gtld.biz.
biz. 172800 IN NS f.gtld.biz.
biz. 172800 IN NS k.gtld.biz.
;; Received 313 bytes from 198.41.0.4#53(A.ROOT-SERVERS.NET) in 7 ms

conrad.biz. 7200 IN NS DNS1.CSCDNS.NET.
conrad.biz. 7200 IN NS DNS2.CSCDNS.NET.
;; Received 80 bytes from 156.154.127.65#53(c.gtld.biz) in 19 ms

www.conrad.biz. 86400 IN CNAME www.conrad.de.edgekey.net.
;; Received 71 bytes from 199.254.53.250#53(DNS2.CSCDNS.NET) in 93 ms
--- cut

Toll - funktioniert! Aber wieso klappt das jetzt nicht bei meinem lokalen DNS-Server?

Schöne Grüße
Martin
Mitglied: SpeakerST
19.07.2012 um 11:49 Uhr
Ich denke wie du oben schon geschrieben hast das der Cache voll ist. Was passiert den wenn du es mit einer bedingten Weiterleitung versuchst?! sprich wenn dein DNS es nicht kann das er es an einen anderen DNS Server weiterleitet
Bitte warten ..
Mitglied: mfernau
19.07.2012 um 12:05 Uhr
Cache ist voll? In den heutigen Zeiten kann ich mir das beim besten Willen nicht vorstellen. Hier arbeiten auch nur 5 Mann. Ist ja nicht so als wäre dieser Server für ein Großunternehmen zuständig
Der müsste sich vor Langeweile eigentlich selbst abschalten...

Du meinst keine bedingte Weiterleitung, sondern einfach eine normale Weiterleitung. Ich weiß nicht wieso ich eine solche Weiterleitung einrichten sollte. Ich mache so etwas eigentlich ungern. Öffentliche DNS-Server kommen und gehen. Ich bin da lieber autark - sonst renne ich irgendwann allen meinen Kunden hinterher und muss nicht mehr erreichbare DNS-Server, die ich als Weiterleitung definiert hatte, wieder abändern. Das sind m.E. Fehlerquellen die man sich sparen kann. Dafür habe ich den DNS-Server ja

Schöne Grüße
Martin
Bitte warten ..
Mitglied: AndiEoh
19.07.2012 um 13:35 Uhr
Hallo

da wären folgende Fragen zu klären:
- Wie ist die Anbindung nach draußen (Firewall, DNS-Proxy etc.) für den internen DNS Server
- Sind vor allem .biz betroffen oder eher alles zufällig verteilt
- Gibt es Fehler im DNS Server Log
- Ist DNSSEC eingeschaltet


Gruß

Andi
Bitte warten ..
Mitglied: mfernau
19.07.2012, aktualisiert um 13:57 Uhr
Hallo Andi,

- der Server ist nach außen über einen LANCOM-Router angeschlossen. Firewall ist dort nicht eingeschaltet bzw es werden keine Pakete nach außen blockiert.
- Es sind nicht nur .biz betroffen. Die Verteilung ist zufällig und betrifft in diesem Fall einfach nur diese .biz-Domain.
- DNSSEC ist meines Wissens nach nicht eingeschaltet. Zumindest nicht wissentlich da ich das noch nie aktiv irgendwo konfiguriert habe.
- Das DNS Server Log ist frei von Fehleinträgen. Das Einzige was ich öfter finde ist etwas in dieser Art:

--- cut
Ereignistyp: Informationen
Ereignisquelle: DNS
Ereigniskategorie: Keine
Ereignis-ID: 5501
Datum: 19.07.2012
Zeit: 11:15:13
Benutzer: Nicht zutreffend
Computer: adserver
Beschreibung:
Der DNS-Server hat ein fehlerhaftes Paket von 66.171.230.26 festgestellt. Die Paketverarbeitung überschreitet die Länge des Paketes. Die Ereignisdaten enthalten das DNS-Paket.
--- cut

Solche Meldungen kommen mehrfach am Tag mit unterschiedlichen, sich aber wiederholenden, IP-Adressen vor. Keine Ahnung ob das "normal" ist oder nicht.

Schöne Grüße
Martin
Bitte warten ..
Mitglied: AndiEoh
19.07.2012 um 23:21 Uhr
Hallo

sieht für mich wie ein EDNS0 Problem aus. Ist ein Standard um DNS Packete >512Byte zu ermöglichen, leider hat es sich noch nicht bei allen Herstellern von Filtern herumgesprochen. Manche Firewalls/IDS kürzen die Packete schlicht auf 512Byte und damit ist die Auflösung im Eimer.

Mal das hier testen:
http://weblogs.asp.net/owscott/archive/2009/09/15/windows-server-2008-r ...
https://www.dns-oarc.net/oarc/services/replysizetest/

Die eigentliche Lösung wäre es den Filter zu finden der die Packete verhunzt. Habt ihr vielleicht noch eine Firewall beim Provider oder sonstwo Upstream?

Gruß

Andi
Bitte warten ..
Mitglied: mfernau
19.07.2012 um 23:49 Uhr
Guten Abend,

vielen Dank für die Links. Das war enorm Aufschlussreich! Direkt nach dem Abschalten von EDNS funktionierte die Abfrage reibungslos. Hoch interessant - nun weiss ich wo ich ansetzen kann.
Das Einzige was zwischen uns und dem Internet exisitert wäre ein LANCOM-Router. Was unser Provider noch so anstellt weiss ich nicht. Da habe ich auch keinerei Einfluss drauf. Wenn ich nochmal Zeit finde kann ich ja mal heraus finden ob der LANCOM dafür verantwortlich ist. Kann ich mir aber eigentlich auch nicht vorstellen - ich aktualisiere die Firmware eigentlich regelmässig...

Schönen Grüße
Martin
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...