4
DNS-Auflösung funktioniert nicht korrekt
Hallo zusammen,
ich hoffe, ihr seid alle gesund. Mir wurde vor ein paar Tagen ein meiner Meinung nach seltsames Problem in Bezug auf DNS Queries gemeldet, bei dem ich einen Denkanstoß gebrauchen könnte.
Folgende Umgebung:
Alle Server laufen unter Windows Server 2016. Grundsätzlich funktioniert das Ganze wunderbar. Jedoch gibt es folgendes Phänomen:
Ich habe in Zone A (gehostet in der Root-Umgebung) einen CNAME, der auf einen A Record in Zone B (ebenfalls gehostet in der Root-Umgebung) verweist. Wenn ich nun einen DNS-Server in einer Child-Domäne nach dem CNAME frage, wird dieser sauber aufgelöst, und ich bekomme die IP-Adresse des Records aus Zone B zurück. Die rekursive Auflösung über die Root-DNS-Serber funktioniert also korrekt.
Ausgabe:
Wenn ich nun aber einen Root-DNS-Server nach dem CNAME frage, bekomme ich kein Ergebnis zurück. Es sieht so aus, als könnte er dem Eintrag nicht folgen.
Beispielausgabe:
Interessant ist hierbei, dass die Auflösung mit Resolve-DnsName in einer PowerShell auch dann einwandfrei funktioniert, wenn ich direkt einen Root-DNS-Server anfrage. Natürlich ist es nach konzept generell nicht richtig, direkt einen Root-DNS-Server zufragen. Das wurde auch bereits geändert, sodass im Betrieb kein Problem mehr besteht. Dennoch bin ich der Meinung, dass die Auflösung gegen einen Root-DNS-Server ebenso korrekt funktionieren muss.
Habt Ihr eine Idee, wo das Problem liegen könnte?
Die DNS-Konfiguration ist meiner Meinung nach korrekt. In den NICs der Root-DNS-Server ist primärer DNS-Sever jeweils der andere DC, sekundär ist er selbst eingetragen. Im DNS-Server sind in der Root-Umgebung als Forwarder DNS-Server im Internet angegeben. Da die beiden Root-DNS-Server aber beide Zonen selber hosten, dürften sie diese ja aber nicht fragen.
Ich danke Euch für alle Anregungen. Vielleicht sehe ich ja auch den Wald vor lauter Bäumen nicht. Ich wünsche euch einen schönen Feierabend.
Viele Grüße
Festus
ich hoffe, ihr seid alle gesund. Mir wurde vor ein paar Tagen ein meiner Meinung nach seltsames Problem in Bezug auf DNS Queries gemeldet, bei dem ich einen Denkanstoß gebrauchen könnte.
Folgende Umgebung:
- Es existiert ein Forest mit einer Root- und Child-Domänen.
- Alle DCs sind auch DNS-Server.
- Die DNS-Server in den Child-Domänen fragen die DNS-Server der Root-Domäne gemäß der Hierarchie an.
- In der Root-Domäne werden mehrere weitere Zonen gehostet, damit diese aus allen Child-Domänen zantral abgefragt werden können.
Alle Server laufen unter Windows Server 2016. Grundsätzlich funktioniert das Ganze wunderbar. Jedoch gibt es folgendes Phänomen:
Ich habe in Zone A (gehostet in der Root-Umgebung) einen CNAME, der auf einen A Record in Zone B (ebenfalls gehostet in der Root-Umgebung) verweist. Wenn ich nun einen DNS-Server in einer Child-Domäne nach dem CNAME frage, wird dieser sauber aufgelöst, und ich bekomme die IP-Adresse des Records aus Zone B zurück. Die rekursive Auflösung über die Root-DNS-Serber funktioniert also korrekt.
Ausgabe:
nslookup CNAME.zone_a.tld
Server: DNS_in_Child_Domäne.domäne.tld
Address: xxx.xxx.xxx.xxx
Nicht autorisierende Antwort:
Name: A_Record.zone_b.tld
Address: yyy.yyy.yyy.yyy
Aliases: CNAME.zone_a.tldWenn ich nun aber einen Root-DNS-Server nach dem CNAME frage, bekomme ich kein Ergebnis zurück. Es sieht so aus, als könnte er dem Eintrag nicht folgen.
Beispielausgabe:
nslookup CNAME.zone_a.tld DNS_in_Root_Domäne.domäne.tld
Server: DNS_in_Root_Domäne.domäne.tld
Address: xxx.xxx.xxx.xxx
Name: CNAME.zone_a.tldInteressant ist hierbei, dass die Auflösung mit Resolve-DnsName in einer PowerShell auch dann einwandfrei funktioniert, wenn ich direkt einen Root-DNS-Server anfrage. Natürlich ist es nach konzept generell nicht richtig, direkt einen Root-DNS-Server zufragen. Das wurde auch bereits geändert, sodass im Betrieb kein Problem mehr besteht. Dennoch bin ich der Meinung, dass die Auflösung gegen einen Root-DNS-Server ebenso korrekt funktionieren muss.
Habt Ihr eine Idee, wo das Problem liegen könnte?
Die DNS-Konfiguration ist meiner Meinung nach korrekt. In den NICs der Root-DNS-Server ist primärer DNS-Sever jeweils der andere DC, sekundär ist er selbst eingetragen. Im DNS-Server sind in der Root-Umgebung als Forwarder DNS-Server im Internet angegeben. Da die beiden Root-DNS-Server aber beide Zonen selber hosten, dürften sie diese ja aber nicht fragen.
Ich danke Euch für alle Anregungen. Vielleicht sehe ich ja auch den Wald vor lauter Bäumen nicht. Ich wünsche euch einen schönen Feierabend.
Viele Grüße
Festus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 597482
Url: https://administrator.de/contentid/597482
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
worum geht es hier überhaupt? Ist das eine Produktiv- oder Testumgebung?
Falls Test:
Wenn Du mit DNS testen willst, dann solltest Du das ohne AD machen. Das verwirrt nur.
Falls Produktiv:
Was willst Du mit dieser Staffelung erreichen? Sollen verschiedene Admins nur bestimmte Zonen verwalten können? Willst Du den DNS-Traffic kanalisieren?
Am Rande:
Wenn Du die Begriffe wild durcheinander wirfst, dann erschwert Dir das auch das Verständnis. Und auch anderen, wenn Du Fragen stellst.
E.
worum geht es hier überhaupt? Ist das eine Produktiv- oder Testumgebung?
Falls Test:
Wenn Du mit DNS testen willst, dann solltest Du das ohne AD machen. Das verwirrt nur.
Falls Produktiv:
Was willst Du mit dieser Staffelung erreichen? Sollen verschiedene Admins nur bestimmte Zonen verwalten können? Willst Du den DNS-Traffic kanalisieren?
Am Rande:
Wenn Du die Begriffe wild durcheinander wirfst, dann erschwert Dir das auch das Verständnis. Und auch anderen, wenn Du Fragen stellst.
- Du solltest in diesem Szenario nicht von "Root-DNS-Servern" sprechen, weil dieser Begriff im DNS schon für etwas anderes verwendet wird. Ein DNS-Server ist kein Root-Server, nur weil er auf einem DC der Root Domain eines Forest läuft.
- Ein CNAME verweist nicht auf eine andere Zone sondern nur einfach auf einen FQDN.
E.
Hi Emeriks,
das ist eine produktive Umgebung. Die Struktur kommt daher, dass wir im Unternehmen zwei sehr verschiedene und stark getrennte Bereiche haben. Das macht schon Sinn.
Und ja, es sind Root-DNS-Server. Bei uns in der Hierarchie sind es die Root-Server. Das hat nix mit den DCs zu tun, passt aber zur Struktur.
Der CNAME verweist auf einen A Record, hatte ich ja so geschrieben.
Danke Dir.
das ist eine produktive Umgebung. Die Struktur kommt daher, dass wir im Unternehmen zwei sehr verschiedene und stark getrennte Bereiche haben. Das macht schon Sinn.
Und ja, es sind Root-DNS-Server. Bei uns in der Hierarchie sind es die Root-Server.
Das hat nix mit den DCs zu tun, passt aber zur Struktur.Der CNAME verweist auf einen A Record, hatte ich ja so geschrieben.
Danke Dir.
Ihr betreibt Eure eigenen Root-DNS-Server? Für welche TLD?
Und diese habt Ihr dann an anderen DNS-Servern auch also Root-DNS-Server eingetragen? (Ich meine nicht Weiterleitung!)
Und diese habt Ihr dann an anderen DNS-Servern auch also Root-DNS-Server eingetragen? (Ich meine nicht Weiterleitung!)
Hi, in unserer Hierarchie auf der obersten Ebene, daher Root. Es geht nicht um eine eigene TLD.
Hat aber auch nichts mit dem Problem zu tun.
Hat aber auch nichts mit dem Problem zu tun.
