11
DNS Auflösung nicht logisch
Guten Tag
Ich habe ein sehr spezielles Phänomen.
Kurzer Aufbau:
ESXI mit 4VMs
15 Clients (Win7 / Win10)
3 Cisco Switchs
Sophos Firewall
Das Spezielle ist, dass einige Clients die DNS abfragen richtig auflösen, einige jedoch nicht.
Die interne Domain "firma.local" wird von allen Clients korrekt aufgelöst, allerdings "firma.ch" nicht.
Im DNS habe ich 2 Zonen erstellt für jede Domain eine.
In der "firma.ch" Zone befinden sich 5 Einträge.
2 nach extern "www" und "mail".
3 interne "cc", "email" und "autodiscover".
4 der Clients lösen alle Einträge richtig auf.
Alle anderen lösen die beiden internen "email" und "autodiscover" von dem öffentlichen DNS Server aus.
So als ob diese Clients nicht mit dem internen DNS kommunizieren.
Wenn ich allerdings den "cc" Eintrag anpasse, sehe ich dies direkt bei allen Clients.
Ich habe die Zone komplett neu erstellt. Kein Erfolg.
Die IP Einstellungen sind identisch mit den Clients die Funktionen. Egal ob DHCP oder fix.
Client direkt an den Switch mit den Servern angeschlossen.
Externes Laptop lösst auch direkt richtig auf.
Domain Controller neugestartet.
Cache gelöscht.
Ich weiss nicht wo das Problem genau liegt...
Hoffe auf gute Ideen..
Gruss Michi
Ich habe ein sehr spezielles Phänomen.
Kurzer Aufbau:
ESXI mit 4VMs
- Domain Controller
- Exchange
- ERP Server
- Webapplication
15 Clients (Win7 / Win10)
3 Cisco Switchs
Sophos Firewall
Das Spezielle ist, dass einige Clients die DNS abfragen richtig auflösen, einige jedoch nicht.
Die interne Domain "firma.local" wird von allen Clients korrekt aufgelöst, allerdings "firma.ch" nicht.
Im DNS habe ich 2 Zonen erstellt für jede Domain eine.
In der "firma.ch" Zone befinden sich 5 Einträge.
2 nach extern "www" und "mail".
3 interne "cc", "email" und "autodiscover".
4 der Clients lösen alle Einträge richtig auf.
Alle anderen lösen die beiden internen "email" und "autodiscover" von dem öffentlichen DNS Server aus.
So als ob diese Clients nicht mit dem internen DNS kommunizieren.
Wenn ich allerdings den "cc" Eintrag anpasse, sehe ich dies direkt bei allen Clients.
Ich habe die Zone komplett neu erstellt. Kein Erfolg.
Die IP Einstellungen sind identisch mit den Clients die Funktionen. Egal ob DHCP oder fix.
Client direkt an den Switch mit den Servern angeschlossen.
Externes Laptop lösst auch direkt richtig auf.
Domain Controller neugestartet.
Cache gelöscht.
Ich weiss nicht wo das Problem genau liegt...
Hoffe auf gute Ideen..
Gruss Michi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 516492
Url: https://administrator.de/contentid/516492
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo Michi,
neuer Aufbau oder Altbestand?
Wenn neu, warum dann .local? Wer hat denn das Design aufgebaut?Kann dir anbieten das komplette System zu inspizieren und zu optimieren. Schreib mir gerne eine Mail.
Viele Grüße,
Christian
certifiedit.net
neuer Aufbau oder Altbestand?
Wenn neu, warum dann .local? Wer hat denn das Design aufgebaut?Kann dir anbieten das komplette System zu inspizieren und zu optimieren. Schreib mir gerne eine Mail.
Viele Grüße,
Christian
certifiedit.net
Dann würde ich mal auf diesen 11 Clients überprüfen von wo sie sich die DNS Daten holen...
Die interne Domain "firma.local"
Ist hier schon mehrfach gesagt worden aber die Root Domain .local ist absolut Tabu bei internen Domains !Sie ist weltweit dem DNS Dienst reserviert und wird davon auch in so gut wie allen Netzen aktiv benutzt.
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Über kurz oder lang wird das also zu Problemen im Netz führen. Vielleicht ist das bei dir schon der Fall.
Welche internen Domain Namen sinnvoll und intelligent sind erklärt dieser Heise Artikel:
https://www.heise.de/select/ct/2017/26/1513540412603853
Allerdings ist die .ch das Problem und nicht die .local.
Dein Konstrukt ist wohl das Problem.
VG
VG
Ich habe alle Clients überprüft.
Alle Clients haben den Selben DNS Server, sprich den internen DC und sonnst keinen.
Gruss Michi
Alle Clients haben den Selben DNS Server, sprich den internen DC und sonnst keinen.
Gruss Michi
Diese Einstellungen haben 3 Jahre ohne Probleme Funktioniert.
Erst seit ich einen neuen Exchange Server installiert habe, habe ich festgestellt, dass die DNS Auflösung fehlerhaft ist.
Erst seit ich einen neuen Exchange Server installiert habe, habe ich festgestellt, dass die DNS Auflösung fehlerhaft ist.
nslookup und dig bringen die gleichen Ergebnissse ??
nslookup auf einem Client:
Und die gleiche abfrage auf dem Domain Controller:
Auf dem Client ist als DNS nur der SRV-DC01 eingetragen und sonst keiner.
Wie kann das sein?
Gruss Michi
C:\Users\User>nslookup
Standardserver: srv-dc01.firma.local
Address: 192.168.1.13
> email.brandi.ch
Server: srv-dc01.firma.local
Address: 192.168.1.13
Nicht autorisierende Antwort:
Name: email.firma.ch
Address: x.x.x.x (ext IP der Firewall)
> autodiscover.firma.ch
Server: srv-dc01.firma.local
Address: 192.168.1.13
Nicht autorisierende Antwort:
Name: autodiscover.firma.ch
Address: x.x.x.x (ext IP der Firewall)
> costumercorner.firma.ch
Server: srv-dc01.firma.local
Address: 192.168.1.13
Name: customercorner.firma.ch
Address: 192.168.1.105
>Und die gleiche abfrage auf dem Domain Controller:
C:\Users\Administrator>nslookup
Standardserver: srv-dc01.firma.local
Address: 192.168.1.13
> email.firma.ch
Server: srv-dc01.firma.local
Address: 192.168.1.13
Name: email.firma.ch
Address: 192.168.1.11
> autodiscover.firma.ch
Server: srv-dc01.firma.local
Address: 192.168.1.13
Name: autodiscover.firma.ch
Address: 192.168.1.11
> customercorner.firma.ch
Server: srv-dc01.firma.local
Address: 192.168.1.13
Name: customercorner.firma.ch
Address: 192.168.1.105
>Auf dem Client ist als DNS nur der SRV-DC01 eingetragen und sonst keiner.
Wie kann das sein?
Gruss Michi
Sinnvoller wäre gleich mal nslookup email.firma.ch einzugeben statt die umständliche Variante.
Das Konstrukt ist aber klar.
Zuerst fragt er den DNS Server srv-dc01.firma.local (wobei wir das Thema mit der sehr problematischen Root Domain .local hier schon hatten !)
Der kann aber den Namen nicht auflösen und/oder hat als Weiterleitung dann autodiscover.firma.ch eingetragen der es dann final kann. Dessen Eintrag gewinnt dann.
Das Konstrukt ist aber klar.
Zuerst fragt er den DNS Server srv-dc01.firma.local (wobei wir das Thema mit der sehr problematischen Root Domain .local hier schon hatten !)
Der kann aber den Namen nicht auflösen und/oder hat als Weiterleitung dann autodiscover.firma.ch eingetragen der es dann final kann. Dessen Eintrag gewinnt dann.
Auf dem Client ist als DNS nur der SRV-DC01 eingetragen und sonst keiner.
Ja klar, aber SRV-DC01 hat als DNS Weiterleitung einen anderen DNS eingetragen an den er den Request weiterleitet.
Allerdings fragt der Client den DNS der die Antwort kennt.
Wenn ich die gleich Abfrage von einem anderen Server mache erhalte ich die richtige Antwort vom DNS.
Nur von den Clients nicht.
Ich verstehe nicht warum der einzige DNS diese Antwort von den Clients weiterleiten soll nach extern.
Gruss
Wenn ich die gleich Abfrage von einem anderen Server mache erhalte ich die richtige Antwort vom DNS.
Nur von den Clients nicht.
Ich verstehe nicht warum der einzige DNS diese Antwort von den Clients weiterleiten soll nach extern.
Gruss
