10
DNS-Auflösung durch falschen Server, eventuell Suffix Problem
Guten Morgen,
ich habe einen Benutzer im Homeoffice dessen PC sich zunächst mal "ungewöhnlich" verhält. Das Problem trat schon bei der Einrichtung auf, ich habe die Kiste vorsichtshalber hier im Netz platt gemacht und neu installiert und danach lief es über Wochen. Heute morgen plötzlich nicht mehr.
Problem:
Pinge ich mit aktiver VPN-Verbindung ins interne Netz antwortet mir der externe Webserver. Die IP wird also vom falschen DNS-Server aufgelöst, auch nach einen flushdns. Es gibt ca. 20 vergleichbare Homeoffice-APs die das Problem nicht an den Tag legen, wenn dann ist es mit einem leeren DNS-Cache immer getan.
Überlegung #1:
Der Client meldet sich über den Sophos VPN Client am Sophos Router an, der User macht dann RDP auf den internen Server. Die lokale Domain des Clients ist intern.firma.de, extern ist die Sophos über firma.de erreichbar. Wenn der externe DNS (Hoster des Webspace) eine Anfrage auf eine beliebige Adresse mit .firma.de bekommt antwortet er grundsätzlich. Das muss man nicht toll finden aber in dem Moment wurde die Anfrage ja schon an den falschen DNS abgesetzt.
Ich kann genau einen DNS Suffix von der Sophos pushen lassen und das ist derzeit firma.de (kann ich leider auch nicht eben mal testweise ändern). Der Rechner zeigt aber auch intern.firma.de als DNS Suffix an, hier mal ipconfig:
Und der Vollständigkeit halber hier der Ping:
Ist das also dem Suffix geschuldet? Dagegen spräche, das es an vielen anderen Clients, selbe Config, einwandfrei läuft.
Überlegung #2:
Auffällig ist die penetrante IPv6-Konfiguration durch den Speedport. Ich habe schon testweise das IPv6-Protokoll für die Adapter abgehakt aber ehrlich gesagt bin ich mir nicht sicher ob das im laufenden Betrieb IPv6 unterbindet. Der Webserver antwortet dann jedenfalls mit IPv4. Ich hab nur von IPv6 echt keinen Schimmer, wirkt sich das auf DNS aus?
Übergangslösung:
Wenn ich statt rds.intern.firma.de die IPv4 des RD Session Brokers angebe kommt die Verbindung wie gewohnt zustande. Der Broker verweist dann an einen Session Host, ich bin allerdings nicht sicher ob da wieder eine DNS-Auflösung durch den Client statt findet.
ich habe einen Benutzer im Homeoffice dessen PC sich zunächst mal "ungewöhnlich" verhält. Das Problem trat schon bei der Einrichtung auf, ich habe die Kiste vorsichtshalber hier im Netz platt gemacht und neu installiert und danach lief es über Wochen. Heute morgen plötzlich nicht mehr.
Problem:
Pinge ich mit aktiver VPN-Verbindung ins interne Netz antwortet mir der externe Webserver. Die IP wird also vom falschen DNS-Server aufgelöst, auch nach einen flushdns. Es gibt ca. 20 vergleichbare Homeoffice-APs die das Problem nicht an den Tag legen, wenn dann ist es mit einem leeren DNS-Cache immer getan.
Überlegung #1:
Der Client meldet sich über den Sophos VPN Client am Sophos Router an, der User macht dann RDP auf den internen Server. Die lokale Domain des Clients ist intern.firma.de, extern ist die Sophos über firma.de erreichbar. Wenn der externe DNS (Hoster des Webspace) eine Anfrage auf eine beliebige Adresse mit .firma.de bekommt antwortet er grundsätzlich. Das muss man nicht toll finden aber in dem Moment wurde die Anfrage ja schon an den falschen DNS abgesetzt.
Ich kann genau einen DNS Suffix von der Sophos pushen lassen und das ist derzeit firma.de (kann ich leider auch nicht eben mal testweise ändern). Der Rechner zeigt aber auch intern.firma.de als DNS Suffix an, hier mal ipconfig:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : bla
Prim„res DNS-Suffix . . . . . . . : intern.firma.de
DNS-Suffixsuchliste . . . . . . . : intern.firma.de
speedport.ip
firma.de
Ethernet-Adapter LAN:
Verbindungsspezifisches DNS-Suffix: speedport.ip
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : <benutzer_ipv6>(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.2.214(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Mittwoch, 26. Mai 2021 08:44:09
Lease l„uft ab. . . . . . . . . . : Mittwoch, 16. Juni 2021 09:19:43
Standardgateway . . . . . . . . . : fe80::1%13
192.168.2.1
DHCP-Server . . . . . . . . . . . : 192.168.2.1
DHCPv6-IAID . . . . . . . . . . . : 117221908
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-49-2E-9B-FC-AA-14-29-A8-C0
DNS-Server . . . . . . . . . . . : fe80::1%13
192.168.2.1
fe80::1%13
Unbekannter Adapter VPN:
Verbindungsspezifisches DNS-Suffix: firma.de
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : <vpnclient_ipv4>(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Mittwoch, 26. Mai 2021 09:00:07
Lease l„uft ab. . . . . . . . . . : Donnerstag, 26. Mai 2022 09:20:07
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : <vpndhcp_ipv4>
DHCPv6-IAID . . . . . . . . . . . : 83951428
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-49-2E-9B-FC-AA-14-29-A8-C0
DNS-Server . . . . . . . . . . . : <firmendns#1_ipv4>
<firmendns#2_ipv4>Ping wird ausgefhrt fr rds.intern.firma.de. [<webserver_ipv6>] mit 32 Bytes Daten:
Antwort von <webserver_ipv6> Zeit=16msÜberlegung #2:
Auffällig ist die penetrante IPv6-Konfiguration durch den Speedport. Ich habe schon testweise das IPv6-Protokoll für die Adapter abgehakt aber ehrlich gesagt bin ich mir nicht sicher ob das im laufenden Betrieb IPv6 unterbindet. Der Webserver antwortet dann jedenfalls mit IPv4. Ich hab nur von IPv6 echt keinen Schimmer, wirkt sich das auf DNS aus?
Übergangslösung:
Wenn ich statt rds.intern.firma.de die IPv4 des RD Session Brokers angebe kommt die Verbindung wie gewohnt zustande. Der Broker verweist dann an einen Session Host, ich bin allerdings nicht sicher ob da wieder eine DNS-Auflösung durch den Client statt findet.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667080
Url: https://administrator.de/forum/dns-aufloesung-durch-falschen-server-eventuell-suffix-problem-667080.html
Ausgedruckt am: 28.03.2025 um 08:03 Uhr
10 Kommentare
Neuester Kommentar
Und der Vollständigkeit halber hier der Ping:
Viel interessanter wäre mal ein nslookup bei aktivem VPN. Dort zeigt sich dann welchen DNS Server dieser Client (und die anderen) wirklich nutzt.Traceroute (tracert bei Winblows) wäre auch mal hilfreichen welchen Hopcount der Client nutzt zum Ziel (intern).
nslookup intern.firma.de.
nslookup firma.de.
nslookup intern.firma.de (ohne abschließenden Punkt)
tracert rds.intern.firma.de.
Also meine IPv4 DNS-Server im VPN Interface werden einfach gepflegt ignoriert.
Server: speedport.ip
Address: fe80::1
Name: intern.firma.de
Addresses: 2a00:1158:1000:300::51a
134.119.45.26nslookup firma.de.
Server: speedport.ip
Address: fe80::1
Name: firma.de
Addresses: 2a00:1158:1000:300::51a
134.119.45.26nslookup intern.firma.de (ohne abschließenden Punkt)
Server: speedport.ip
Address: fe80::1
Name: intern.firma.de.intern.firma.de
Addresses: 2a00:1158:1000:300::51a
134.119.45.26tracert rds.intern.firma.de.
Routenverfolgung zu rds.intern.firma.de [<ipv6>]
ber maximal 30 Hops:
1 <1 ms <1 ms <1 ms p<ipv6>.dip0.t-ipconnect.de [<ipv6>]
2 7 ms 5 ms 5 ms 2003:0:8506:3000::1
3 15 ms 23 ms 15 ms 2003:0:f00::d3
4 15 ms 15 ms 15 ms ae0-v100.sr-sol.sxb1.mass.systems [2a01:488:bb00:101::3]
5 15 ms 15 ms 15 ms rincewind.ispgateway.de [2a00:1158:1000:300::51a]
Ablaufverfolgung beendet.Also meine IPv4 DNS-Server im VPN Interface werden einfach gepflegt ignoriert.
Dann gib dem VPN-Interface mal manuell die Schnittstellenmetrik "1". Dann werden dessen DNS-Server auch bevorzugt.
Zitat von @LordGurke:
Dann gib dem VPN-Interface mal manuell die Schnittstellenmetrik "1". Dann werden dessen DNS-Server auch bevorzugt.
Beide Interfaces hatten 25 als automatische Metrik, wenn ich VPN auf 20 stelle klappt das wohl. Aber warum klappt es bei über 20 anderen PCs auch ohne? (Ich werde heute Abend erst an einem sitzen können Dann gib dem VPN-Interface mal manuell die Schnittstellenmetrik "1". Dann werden dessen DNS-Server auch bevorzugt.
)
Weil die vermutlich bei der Installation die Interface Metriken richtig gesetzt haben !
Zitat von @aqui:
Weil die vermutlich bei der Installation die Interface Metriken richtig gesetzt haben !
Wird das bei der Installation des VPN-Clients durch das Setup gesetzt?Weil die vermutlich bei der Installation die Interface Metriken richtig gesetzt haben !
Weil IPv6 bevorzugt durch Windows behandelt wird und da hast du ja die Adresse des Speedport ( fe80::1%13) in der Liste der DNS Server 
. Und da die Domain öffentlich durch den Wildcard DNS Eintrag immer eine korrekte Antwort liefert kommt es das eben primäre die öffentliche IP zurückgeliefert wird.
Gruß w.
. Und da die Domain öffentlich durch den Wildcard DNS Eintrag immer eine korrekte Antwort liefert kommt es das eben primäre die öffentliche IP zurückgeliefert wird.Verbindungsspezifisches DNS-Suffix: firma.deVerbindungsspezifisches DNS-Suffix: firma.de
Außerdem ist das Domain-Suffix in der VPN-Verbindung hier nur auf "firma.de" gesetzt nicht auf die interne Subdomain "intern.firma.de". Somit ermittelt der Rechner die IP über den Speedport extern und nicht über die DNS Server der VPN-Verbindung.Gruß w.
Zitat von @148121:
Weil IPv6 bevorzugt durch Windows behandelt wird
Kann ich mir ja noch vorstellen wobei ein deaktivieren der IPv6 Protokolle in beiden Interfaces keine Veränderung gebracht hat. Auch würde es bedeuten das IPv6 nur in diesem einen Setup mit dem Speedport zum Einsatz kommt denn sonst müsste jeder meiner User mit aktivem IPv6 (die Clients haben das grundsätzlich alle aktiv) das Problem haben.Weil IPv6 bevorzugt durch Windows behandelt wird
Ich denke also das für die Wahl des DNS Servers die IP-Version des Protokolls des DNS Servers keine Rolle spielt. Das ergibt für mich auch keinen Sinn. Natürlich kann Windows IPv6-Verbindungen bevorzugen aber deswegen einen anderen DNS Server anfragen?
Zitat von @148121:
Außerdem ist das Domain-Suffix in der VPN-Verbindung hier nur auf "firma.de" gesetzt nicht auf die interne Subdomain "intern.firma.de". Somit ermittelt der Rechner die IP über den Speedport extern und nicht über die DNS Server der VPN-Verbindung.
Stimmt, auch das ist aber überall gleich.Außerdem ist das Domain-Suffix in der VPN-Verbindung hier nur auf "firma.de" gesetzt nicht auf die interne Subdomain "intern.firma.de". Somit ermittelt der Rechner die IP über den Speedport extern und nicht über die DNS Server der VPN-Verbindung.
Ich werde heute Abend noch bei mir schauen aber mein PC ist sicherlich kein gutes Beispiel und IPv6 habe ich zuhause auch nicht.
Zitat von @ukulele-7:
Ich denke also das für die Wahl des DNS Servers die IP-Version des Protokolls des DNS Servers keine Rolle spielt.
Doch, die IPv6 DNS Server landen dadurch das IPv6 bevorzugt wird auf der Liste immer ganz oben und bei den Anfragen immer als erstes angefragt, kommt die Antwort dann von diesem schneller als von anderen nimmt Windows auch diese IP sofern die Suffixes auf den Interfaces nicht passen.Ich denke also das für die Wahl des DNS Servers die IP-Version des Protokolls des DNS Servers keine Rolle spielt.
Das ergibt für mich auch keinen Sinn. Natürlich kann Windows IPv6-Verbindungen bevorzugen aber deswegen einen anderen DNS Server anfragen?
Ist aber so. Wireshark anwerfen und du siehst es. Primär würde ich aber die Search-Prefixes prüfen denn eine Subdomain ist ja was anderes als die TLD.Und wenn du nach blablub.intern.domain.tld suchst und intern.domain.tld nicht in den Suffixes der VPN Verbindung liegt (domain.tld ist nicht gleich intern.firma.de!) löst er halt öffentlich auf.
Mein Rechner zuhause hat ebenfalls die selbe Metrik auf allen Interfaces, allerdings ist der nicht in der Domain. Interessanter weise wird mir gar keine DNS-Suffixsuchliste mit ipconfig /all ausgegeben, es hat also ausschließlich das VPN Interface das Suffix domain.de und damit wird intern.domain.de auch darüber aufgelöst (ausschließlich IPv4). Ich werde jetzt mal bei meinen Kollegen nach einer vergleichbaren DNS/IPv6-Konstellation suchen, kann dauern...
Sophos kann nach wie vor wohl nur ein DNS Suffix ausliefern:
https://community.sophos.com/sophos-xg-firewall/f/discussions/126745/sop ...
Für den Homeoffice-AP wäre das auch kein Problem dem könnte ich einfach intern.domain.de geben da läuft nichts lokal alles nur RDP. Allerdings habe ich Exchange auch ins VPN verbannt, was gut klappt. Aber dadurch nutze ich auch VPN auf Mobilgeräten und die müssen natürlich autodiscover und mail.domain.de im VPN auflösen, da möchte ich nicht dran drehen.
Ich habe jetzt als Lösung erstmal einen Alias rds.domain.de im DNS angelegt und werde die RDP-Verbindung dahingehend anpassen (sobald ich wieder Zugriff auf das Gerät habe), das sollte das Problem am elegantesten lösen.
Sophos kann nach wie vor wohl nur ein DNS Suffix ausliefern:
https://community.sophos.com/sophos-xg-firewall/f/discussions/126745/sop ...
Für den Homeoffice-AP wäre das auch kein Problem dem könnte ich einfach intern.domain.de geben da läuft nichts lokal alles nur RDP. Allerdings habe ich Exchange auch ins VPN verbannt, was gut klappt. Aber dadurch nutze ich auch VPN auf Mobilgeräten und die müssen natürlich autodiscover und mail.domain.de im VPN auflösen, da möchte ich nicht dran drehen.
Ich habe jetzt als Lösung erstmal einen Alias rds.domain.de im DNS angelegt und werde die RDP-Verbindung dahingehend anpassen (sobald ich wieder Zugriff auf das Gerät habe), das sollte das Problem am elegantesten lösen.
