DNS Afragen ohne Suffix beantworten

dani
Goto Top
Hallo liebe Kolleginnen und Kollegen,
wir setzen im Unternehmensnetzwerk die Windowss Server Rolle "DNS Server" in Kombination mit Active Direcotry ein. Es gibt verschiedene Forward-Zonen für die unterschiedlichen Bereichen.

Nun soll eine neue Anwendung eingeführt werden. Es handelt sich dabei um eine fertige Appliance, welche über ein OVF Template bereitgestellt wird. Die erstellte VM stellt verschiedene Anfragen an unsere DNS-Server. Alle Anfragen bleiben allerdings unbeantwortet.

Mit Hilfe von Wireshark ist zu sehen, dass die Appliance die Anfrage ausschließlich mit dem Hostnamen "hosta" (kein FQDN) verschickt. Was natürlich dazu führt, dass die DNS-Server die Anfrage nicht beantworten. Denn der DNS-Server weiß nicht welche Forward-Loookupzone auf den DNS-Servern gemeint ist.

Wir können den Hostnamen und IP Einstellungen an unsere Vorgaben anpassen. Es ist nach Rücksprache mit dem technischen Support nicht möglich, DNS Suchlisten und DNS Suffixe zu konfigurieren. Einzig per DHCP besteht die Möglichkeit die Parameter mit Werte zu füllen. face-sad

Hat jemand eine Idee, wie die DNS-Server konfiguriert werden müssen, dass dieser die Anfragen entsprechend beantwortet? Gerne auch, dass bei fehlenden DNS-Suffix automatisch eine bestimmte Forward-Loookupzonen auf dem DNS-Server abfragt.


Gruß,
Dani

P.S. Der Umbau der Netzsegmente auf die Nutzung mit DHCP ist sozusagen mein aller letzter Ausweg, da das organisatorisch und technisch eine große Hürde wird.

Content-Key: 2929988161

Url: https://administrator.de/contentid/2929988161

Ausgedruckt am: 19.08.2022 um 04:08 Uhr

Mitglied: Mystery-at-min
Mystery-at-min 29.05.2022 um 16:47:07 Uhr
Goto Top
Nun soll eine neue Anwendung eingeführt werden. Es handelt sich dabei um eine fertige Appliance, welche über ein OVF Template bereitgestellt wird. Die erstellte VM stellt verschiedene Anfragen an unsere DNS-Server. Alle Anfragen bleiben allerdings unbeantwortet.

Hat die Appliance einen Namen? Im Grunde arbeitet Sie Standardinkonform, wenn Sie nur den Hostname abfragt, nicht den FQDN.
Mitglied: Dani
Dani 29.05.2022 aktualisiert um 16:51:46 Uhr
Goto Top
Moin,
Hat die Appliance einen Namen?
Ja. face-smile Kann ich an der Stelle erst einmal nicht nennen.

Im Grunde arbeitet Sie Standardinkonform, wenn Sie nur den Hostname abfragt, nicht den FQDN.
Richtig. In der Regel kann man DNS-Suffix oder DNS-SearchList bei 99% aller Systeme manuell konfigurieren. Damit tritt das obengenannte Problem auch nicht auf.


Gruß,
Dani
Mitglied: ipzipzap
ipzipzap 29.05.2022 aktualisiert um 16:54:29 Uhr
Goto Top
Hi,

meiner Meinung nach handelt es sich hier definitiv um ein Problem der Appliance, wozu der Hersteller geradestehen muß. "Normalerweise" kann man an einem Gerät doch den eigenen Hostnamen und DNS Suffix einstellen.

Ich würde den Teufel tun und meine eigene interne Infrastruktur dafür umbauen, nur um die Probleme anderer zu fixen. Ich würde meinem Vorgesetzten bzw. der Abteilung, die die Installation angeordnet hat, ganz klar sagen, das das der Hersteller zu fixen hat und bis dahin kein Betrieb möglich ist. Punkt! Also nicht über den Support, sondern über die Management-Ebene klären. Du glaubst nicht, wie schnell sowas dann meistens gelöst ist face-wink

cu,
ipzipzap
Mitglied: Mystery-at-min
Mystery-at-min 29.05.2022 um 16:53:44 Uhr
Goto Top
Zitat von @Dani:

Moin,
Hat die Appliance einen Namen?
Ja. face-smile Kann ich an der Stelle erst einmal nicht nennen.

Im Grunde arbeitet Sie Standardinkonform, wenn Sie nur den Hostname abfragt, nicht den FQDN.
Richtig. In der Regel kann man DNS-Suffix oder DNS-SearchList bei 99% aller Systeme manuell konfigurieren. Damit tritt das obengenannte Problem auch nicht auf.


Gruß,
Dani

kennst du selbst nicht oder wie? face-big-smile Immerhin ist das grundsätzlich kein Problem, Bug eintüten, je mehr das melden, desto schneller geht's zu dem ist's vielleicht auch für andere als Tool interessant - wer weiss, wofür das gut ist. face-big-smile
Mitglied: Dani
Dani 29.05.2022 um 16:57:29 Uhr
Goto Top
Moin,
meiner Meinung nach handelt es sich hier definitiv um ein Problem der Appliance, wozu der Hersteller geradestehen muß. "Normalerweise" kann man an einem Gerät doch den eigenen Hostnamen und DNS Suffix einstellen.
Dann sind wir schon zwei. face-wink


Gruß,
Dani
Mitglied: Dani
Dani 29.05.2022 aktualisiert um 17:05:41 Uhr
Goto Top
Zitat von @Mystery-at-min:
kennst du selbst nicht oder wie? face-big-smile
Es gibt Hersteller von Produkte auf dieser Welt, bei denen vor dem Verkauf ein NDA unabdingbar ist.

Bug eintüten, je mehr das melden, desto schneller geht's
Das vermeidliche Bug Ticket wurde mit dem Vermerk "Work as designed" geschlossen. Da merkt man schon die unterschiedliche technische Aufassung und die Monopolstellung. face-sad


Gruß,
Dani
Mitglied: Mystery-at-min
Mystery-at-min 29.05.2022 um 17:11:31 Uhr
Goto Top
Es gibt Hersteller von Produkte auf dieser Welt, bei denen vor dem Verkauf ein NDA unabdingbar ist.

Das ist doch ein Nepp, oder? face-big-smile

Nur durch Name und Softwareversion dürfte dem Hersteller ja nichts passieren, im Gegenteil - zugegen, der Bug ist ärgerlich, aber wenn die Funktionalität auf anderem Bereich deswegen umso besser ist...

Das vermeidliche Bug Ticket wurde mit dem Vermerk "Work as designed" geschlossen.

dann aber nur bei denen, macht den Namen für Faq, How To usw aber nur interessanter...
Mitglied: ipzipzap
ipzipzap 29.05.2022 aktualisiert um 17:13:21 Uhr
Goto Top
Zitat von @Dani:
Bug eintüten, je mehr das melden, desto schneller geht's
Das vermeidliche Bug Ticket wurde mit dem Vermerk "Work as designed" geschlossen. Da merkt man schon die unterschiedliche technische Aufassung und die Monopolstellung. face-sad

Dann definitiv über die Management-Ebene gehen, wie oben schon gesagt. Bei Produkten in der NDA-Größenordnung sollte das auf jeden Fall gehen ^^

"Chef, solange das Problem nicht gefixed wird, können wir das Produkt leider nicht einsetzen *trauriges-Gesicht-mach*"
Mitglied: colinardo
colinardo 29.05.2022 aktualisiert um 17:58:05 Uhr
Goto Top
Servus Dani.
Hat jemand eine Idee, wie die DNS-Server konfiguriert werden müssen, dass dieser die Anfragen entsprechend beantwortet?
Ja, nennt sich GlobalNames Zone.

Dazu aktiviert man das Feature, entweder per PowerShell
Set-DnsServerGlobalNameZone
Oder dnscmd
Und erstellt die spezielle GlobalNames Forward-Lookup Zone.
Und darin dann die gewünschten Hostnames.

Grüße Uwe
Mitglied: Dani
Dani 29.05.2022 um 18:09:28 Uhr
Goto Top
Guten Abend Uwe,
schön dich hier zu lesen. face-smile

Klingt genau nach der perfekten Lösung, die ich für das Problem suche. Da tüte ich doch gleich einen Change Request für die Kollegen ein. Damit die morgen früh gleich an mich denken müssen. face-big-smile

Single Lable Domain habe ich nicht mehr gelernt geschweige den praktische Erfahrung gesammelt. Klingt aber an der Stelle aber logisch.


Gruß,
Dani
Mitglied: LordGurke
LordGurke 29.05.2022 um 18:27:39 Uhr
Goto Top
Ich weiß natürlich nicht, was du der Appliance einstellen kannst - aber was passiert, wenn du anstelle des nackten Hostname gleich den ganzen FQDN der Appliance einträgst? Das führt bei den meisten Linux-Basierten Systemen dazu, dass daraus automatisch die Suchdomain hergeleitet wird.
Mitglied: rzlbrnft
rzlbrnft 30.05.2022 aktualisiert um 12:52:57 Uhr
Goto Top
Hat das Gerät denn keine eigene DNS Domäne? Normalerweise hängt das Gerät seine eigene Suchdomäne an alle Requests an, wenn die leer ist, dann wird natürlich nichts angehängt.

Du sagst per DHCP können Daten übergeben werden, dazu gehört ja auch das primäre DNS Suffix oder Searchlist der Maschine oder noch ganz viel anderer Krimskrams.

Du kannst theoretisch auch über eine Reservierung die Option 012 Host Name mit dem kompletten FQDN beschicken, falls der das annimmt, oder aber, du setzt in der Reservierung für das Gerät statt den Windows DNS Servern einen Router, der die Annahme von Plain Host Names beherrscht, so haben wir hier zum Beispiel sichergestellt, das unsere Cluster Hosts primär über das 10G Netz kommunizieren, weil sie vom Router eine Ziel IP zugewiesen bekommen, die der Windows DNS Server nicht kennt.
unbenannt
Mitglied: Dani
Dani 30.05.2022 um 21:04:24 Uhr
Goto Top
@LordGurke
Wenn du anstelle des nackten Hostname gleich den ganzen FQDN der Appliance einträgst?
Bereits versucht. Ausnahmen bestätigen die Regel. Die Appliance ist eine Ausnahme. face-sad

@rzlbrnft
Hat das Gerät denn keine eigene DNS Domäne?
Nein.

Du sagst per DHCP können Daten übergeben werden, dazu gehört ja auch das primäre DNS Suffix oder Searchlist der Maschine oder noch ganz viel anderer Krimskrams.
Siehe mein P.S. in meiner Frage.


Gruß,
Dani
Mitglied: lcer00
lcer00 31.05.2022 um 07:25:45 Uhr
Goto Top
Hallo,

DNS ohne Domäne ist schlichtweg nicht vorgesehen. Ich habe mal die bind9-Doku durchgesehen, da findet sich nix passendes. Und auf der Opnsense habe ich mal versucht, eine Hostname-Überschreibung ohne Domäne einzustellen (unbound), unzulässige Konfiguration.

Hast Du mal versucht, ob das Ding mDNS macht? Vielleicht wäre das ein Umweg (den ich aber vermeiden würde)

Grüße

lcer
Mitglied: Dani
Dani 06.06.2022 um 14:10:13 Uhr
Goto Top
Hallo Uwe,
wir haben uns mit deinem Vorschlag bezüglich GlobalNames Zone auseinandergesetzt.

Leider ist auch damit Appliance nicht kompatibel bzw. kommt damit nicht klar. Wir haben sogar sicherheitshalber Microsoft noch drüber schauen lassen. Weniger wegen Konfigurationsfehler sondern eher wegen der Komplextität unserer DNS Landschaft. Nicht das wir uns den Weg verbaut haben. Dem ist leider/Gott sei Dank nicht so.

Was wir seit gestern testen ist, dass wir den Hostnamen als Forward-Zone im DNS Server angelegt haben. Im Anschluss einen A-Eintrag auf die Zone selbst mit der IP-Adresse. Damit funktioniert ein erster Test via Ping auf den Host per Appliance. Die weiteren Tests folgen diese Woche.


Gruß,
Dani
Mitglied: Dani
Dani 17.07.2022 um 14:33:19 Uhr
Goto Top
Moin,
Was wir seit gestern testen ist, dass wir den Hostnamen als Forward-Zone im DNS Server angelegt haben. Im Anschluss einen A-Eintrag auf die Zone selbst mit der IP-Adresse. Damit funktioniert ein erster Test via Ping auf den Host per Appliance. Die weiteren Tests folgen diese Woche.
die Tests sind abgeschlossen. Es wurde direkt unter Forward-Lookupzonen eine neue Zone mit "Herstellername" angelegt. Darin ein neuer A-Eintrag mit der IP-Adresse des Servers. Working as Designed. face-sad


Gruß,
Dani