3
DNS bremst Anwendungen
Guten Morgen,
ich habe folgendes Problem, zuerst der Netzaufbau
Netzwerk 192.168.2.0
Gateway/Firewall: Zyxel USG60 192.168.2.1
1. DC 192.168.2.11
2. DC 192.168.2.15
Ein Anwender hat auf seinem PC SFirm und folgendes Phänomen:
Er startet das Programm und es dauert ca 1 Minute bis das Enmeldefenster für SFIRM kommt.
Zieht er den Netzwerkstecker ab ODER man stellt den DNS von .11 und .15 auf die Firewall .1
öffnet sich die Anwendung sofort und das Anmeldefenster erscheint nach ca 3-5 Sekunden
Im Ereigniss Protokoll sind für DNS keine Fehler zu finden.
Im DNS wurden jetzt noch für die Weiterleitung von DNS Anfragen zusätzlich noch die Google DNS 8.8.8.8 und 8.8.4.4
hinzugefügt.
Scheinbar werden auch andere Anwendungen gebremst, bei SFIRM fällt es halt extrem auf.
Gruß Marco
ich habe folgendes Problem, zuerst der Netzaufbau
Netzwerk 192.168.2.0
Gateway/Firewall: Zyxel USG60 192.168.2.1
1. DC 192.168.2.11
2. DC 192.168.2.15
Ein Anwender hat auf seinem PC SFirm und folgendes Phänomen:
Er startet das Programm und es dauert ca 1 Minute bis das Enmeldefenster für SFIRM kommt.
Zieht er den Netzwerkstecker ab ODER man stellt den DNS von .11 und .15 auf die Firewall .1
öffnet sich die Anwendung sofort und das Anmeldefenster erscheint nach ca 3-5 Sekunden
Im Ereigniss Protokoll sind für DNS keine Fehler zu finden.
Im DNS wurden jetzt noch für die Weiterleitung von DNS Anfragen zusätzlich noch die Google DNS 8.8.8.8 und 8.8.4.4
hinzugefügt.
Scheinbar werden auch andere Anwendungen gebremst, bei SFIRM fällt es halt extrem auf.
Gruß Marco
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 350568
Url: https://administrator.de/contentid/350568
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Hi
ich würde nicht den GoogleDNS verwenden, verwende stattdessen den des Providers:
http://www.stanar.de/ eine Liste aller öffentlichen DNS Server einzelnen Provider, DTAG hat sogar Zonenbezogene DNS Server
Welche DNS Settings sind am DC eingestellt, also welche Adressen sind dort bei den IP Einstellungen eingetragen?
Gruß
@clSchak
ich würde nicht den GoogleDNS verwenden, verwende stattdessen den des Providers:
http://www.stanar.de/ eine Liste aller öffentlichen DNS Server einzelnen Provider, DTAG hat sogar Zonenbezogene DNS Server
Welche DNS Settings sind am DC eingestellt, also welche Adressen sind dort bei den IP Einstellungen eingetragen?
Gruß
@clSchak
Hi,
um das interne - scheinbare - DNS-Problem zu untersuchen, würde ich zunächst die Weiterleitungen nach Extern vorübergehend komplett raus nehmen. Dann das Szenario erneut durchspielen.
Weiterhin auf beiden DNS-Servern das erweiterte Debuglog aktivieren. Den betreffenden Computer testen. Dann die Logfiles auf den DNS-Servern sichten, welche Namen dieser Computer aufzulösen versucht.
Ich vermute, dass der Computer irgendeinen Namen auflösen will und dafür von den internen DNS-Servern eine "falsche" Adresse bekommt. Oftmals ist es schlimmer, vom DNS-Server eine falsche Adresse zu bekommen als wenn er den Namen gar nicht auflösen konnte und gar keine Adresse liefert. Bei einer falschen Adresse versuchen die Programme damit zu arbeiten und je nachdem, wie lang die Timeouts für die konkret verwendeten Protokolle sind, dauert das dann länger, als wenn sie es bei fehlender Adresse gar nicht erst versuchen können. Dabei muss es sich dann noch nicht einmal um eine "lebenswichtige" Funktion des Programms handeln. D.h. es sieht trotzdem für den Anwender so aus, als wenn es in beiden Konstellationen doch korrekt laufen würde.
E.
um das interne - scheinbare - DNS-Problem zu untersuchen, würde ich zunächst die Weiterleitungen nach Extern vorübergehend komplett raus nehmen. Dann das Szenario erneut durchspielen.
Weiterhin auf beiden DNS-Servern das erweiterte Debuglog aktivieren. Den betreffenden Computer testen. Dann die Logfiles auf den DNS-Servern sichten, welche Namen dieser Computer aufzulösen versucht.
Ich vermute, dass der Computer irgendeinen Namen auflösen will und dafür von den internen DNS-Servern eine "falsche" Adresse bekommt. Oftmals ist es schlimmer, vom DNS-Server eine falsche Adresse zu bekommen als wenn er den Namen gar nicht auflösen konnte und gar keine Adresse liefert. Bei einer falschen Adresse versuchen die Programme damit zu arbeiten und je nachdem, wie lang die Timeouts für die konkret verwendeten Protokolle sind, dauert das dann länger, als wenn sie es bei fehlender Adresse gar nicht erst versuchen können. Dabei muss es sich dann noch nicht einmal um eine "lebenswichtige" Funktion des Programms handeln. D.h. es sieht trotzdem für den Anwender so aus, als wenn es in beiden Konstellationen doch korrekt laufen würde.
E.
Hallo,
prüf mal nach ob ein Problem mit EDNS vorliegt:
https://weblogs.asp.net/owscott/windows-server-2008-r2-dns-issues
https://www.dns-oarc.net/oarc/services/replysizetest
entgegen der früheren Empfehlung EDNS auszuschalten solltest du allerdings die Komponenten austauschen/erneuern die immer noch nicht mit EDNS umgehen können.
Ich nehme an die DCs haben die Firewall als Forward eingetragen und gehen nicht per UDP Port 53 nach draußen? Falls doch solltest du die Firewall Regeln prüfen und mindestens TCP Port 53 zusätzlich freischalten.
Gruß
Andi
prüf mal nach ob ein Problem mit EDNS vorliegt:
https://weblogs.asp.net/owscott/windows-server-2008-r2-dns-issues
https://www.dns-oarc.net/oarc/services/replysizetest
entgegen der früheren Empfehlung EDNS auszuschalten solltest du allerdings die Komponenten austauschen/erneuern die immer noch nicht mit EDNS umgehen können.
Ich nehme an die DCs haben die Firewall als Forward eingetragen und gehen nicht per UDP Port 53 nach draußen? Falls doch solltest du die Firewall Regeln prüfen und mindestens TCP Port 53 zusätzlich freischalten.
Gruß
Andi
