miichiii9
Goto Top

DNS Auflösung nicht logisch

Guten Tag

Ich habe ein sehr spezielles Phänomen.

Kurzer Aufbau:

ESXI mit 4VMs
  • Domain Controller
  • Exchange
  • ERP Server
  • Webapplication

15 Clients (Win7 / Win10)

3 Cisco Switchs
Sophos Firewall


Das Spezielle ist, dass einige Clients die DNS abfragen richtig auflösen, einige jedoch nicht.

Die interne Domain "firma.local" wird von allen Clients korrekt aufgelöst, allerdings "firma.ch" nicht.
Im DNS habe ich 2 Zonen erstellt für jede Domain eine.

In der "firma.ch" Zone befinden sich 5 Einträge.
2 nach extern "www" und "mail".
3 interne "cc", "email" und "autodiscover".

4 der Clients lösen alle Einträge richtig auf.

Alle anderen lösen die beiden internen "email" und "autodiscover" von dem öffentlichen DNS Server aus.
So als ob diese Clients nicht mit dem internen DNS kommunizieren.
Wenn ich allerdings den "cc" Eintrag anpasse, sehe ich dies direkt bei allen Clients.

Ich habe die Zone komplett neu erstellt. Kein Erfolg.
Die IP Einstellungen sind identisch mit den Clients die Funktionen. Egal ob DHCP oder fix.
Client direkt an den Switch mit den Servern angeschlossen.
Externes Laptop lösst auch direkt richtig auf.
Domain Controller neugestartet.
Cache gelöscht.

Ich weiss nicht wo das Problem genau liegt...

Hoffe auf gute Ideen..

Gruss Michi

Content-Key: 516492

Url: https://administrator.de/contentid/516492

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 17.11.2019 um 14:28:30 Uhr
Goto Top
Hallo Michi,

neuer Aufbau oder Altbestand?

Wenn neu, warum dann .local? Wer hat denn das Design aufgebaut?Kann dir anbieten das komplette System zu inspizieren und zu optimieren. Schreib mir gerne eine Mail.

Viele Grüße,

Christian
certifiedit.net
Mitglied: NordicMike
NordicMike 17.11.2019 um 14:31:12 Uhr
Goto Top
Dann würde ich mal auf diesen 11 Clients überprüfen von wo sie sich die DNS Daten holen...
Mitglied: aqui
aqui 17.11.2019 aktualisiert um 18:13:50 Uhr
Goto Top
Die interne Domain "firma.local"
Ist hier schon mehrfach gesagt worden aber die Root Domain .local ist absolut Tabu bei internen Domains !
Sie ist weltweit dem DNS Dienst reserviert und wird davon auch in so gut wie allen Netzen aktiv benutzt.
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Über kurz oder lang wird das also zu Problemen im Netz führen. Vielleicht ist das bei dir schon der Fall.
Welche internen Domain Namen sinnvoll und intelligent sind erklärt dieser Heise Artikel:
https://www.heise.de/select/ct/2017/26/1513540412603853
Mitglied: miichiii9
miichiii9 18.11.2019 um 13:35:46 Uhr
Goto Top
Allerdings ist die .ch das Problem und nicht die .local.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.11.2019 um 13:36:20 Uhr
Goto Top
Dein Konstrukt ist wohl das Problem.

VG
Mitglied: miichiii9
miichiii9 18.11.2019 um 13:36:44 Uhr
Goto Top
Ich habe alle Clients überprüft.
Alle Clients haben den Selben DNS Server, sprich den internen DC und sonnst keinen.

Gruss Michi
Mitglied: miichiii9
miichiii9 18.11.2019 um 13:39:05 Uhr
Goto Top
Diese Einstellungen haben 3 Jahre ohne Probleme Funktioniert.
Erst seit ich einen neuen Exchange Server installiert habe, habe ich festgestellt, dass die DNS Auflösung fehlerhaft ist.
Mitglied: aqui
aqui 18.11.2019 um 15:44:21 Uhr
Goto Top
nslookup und dig bringen die gleichen Ergebnissse ??
Mitglied: miichiii9
miichiii9 19.11.2019 um 15:18:59 Uhr
Goto Top
nslookup auf einem Client:

C:\Users\User>nslookup
Standardserver:  srv-dc01.firma.local
Address:  192.168.1.13

> email.brandi.ch
Server:  srv-dc01.firma.local
Address:  192.168.1.13

Nicht autorisierende Antwort:
Name:    email.firma.ch
Address:  x.x.x.x (ext IP der Firewall)

> autodiscover.firma.ch
Server:  srv-dc01.firma.local
Address:  192.168.1.13

Nicht autorisierende Antwort:
Name:    autodiscover.firma.ch
Address:  x.x.x.x (ext IP der Firewall)

> costumercorner.firma.ch
Server:  srv-dc01.firma.local
Address:  192.168.1.13

Name:    customercorner.firma.ch
Address:  192.168.1.105
>

Und die gleiche abfrage auf dem Domain Controller:

C:\Users\Administrator>nslookup
Standardserver:  srv-dc01.firma.local
Address:  192.168.1.13

> email.firma.ch
Server:  srv-dc01.firma.local
Address:  192.168.1.13

Name:    email.firma.ch
Address:  192.168.1.11

> autodiscover.firma.ch
Server:  srv-dc01.firma.local
Address:  192.168.1.13

Name:    autodiscover.firma.ch
Address:  192.168.1.11

> customercorner.firma.ch
Server:  srv-dc01.firma.local
Address:  192.168.1.13

Name:    customercorner.firma.ch
Address:  192.168.1.105
>

Auf dem Client ist als DNS nur der SRV-DC01 eingetragen und sonst keiner.
Wie kann das sein?

Gruss Michi
Mitglied: aqui
aqui 19.11.2019 um 16:13:25 Uhr
Goto Top
Sinnvoller wäre gleich mal nslookup email.firma.ch einzugeben statt die umständliche Variante.
Das Konstrukt ist aber klar.
Zuerst fragt er den DNS Server srv-dc01.firma.local (wobei wir das Thema mit der sehr problematischen Root Domain .local hier schon hatten !)
Der kann aber den Namen nicht auflösen und/oder hat als Weiterleitung dann autodiscover.firma.ch eingetragen der es dann final kann. Dessen Eintrag gewinnt dann.
Auf dem Client ist als DNS nur der SRV-DC01 eingetragen und sonst keiner.
Ja klar, aber SRV-DC01 hat als DNS Weiterleitung einen anderen DNS eingetragen an den er den Request weiterleitet.
Mitglied: miichiii9
miichiii9 20.11.2019 um 00:27:16 Uhr
Goto Top
Allerdings fragt der Client den DNS der die Antwort kennt.
Wenn ich die gleich Abfrage von einem anderen Server mache erhalte ich die richtige Antwort vom DNS.
Nur von den Clients nicht.
Ich verstehe nicht warum der einzige DNS diese Antwort von den Clients weiterleiten soll nach extern.

Gruss