marcobrueck
Goto Top

DNS bremst Anwendungen

Guten Morgen,

ich habe folgendes Problem, zuerst der Netzaufbau

Netzwerk 192.168.2.0
Gateway/Firewall: Zyxel USG60 192.168.2.1
1. DC 192.168.2.11
2. DC 192.168.2.15

Ein Anwender hat auf seinem PC SFirm und folgendes Phänomen:

Er startet das Programm und es dauert ca 1 Minute bis das Enmeldefenster für SFIRM kommt.
Zieht er den Netzwerkstecker ab ODER man stellt den DNS von .11 und .15 auf die Firewall .1
öffnet sich die Anwendung sofort und das Anmeldefenster erscheint nach ca 3-5 Sekunden

Im Ereigniss Protokoll sind für DNS keine Fehler zu finden.

Im DNS wurden jetzt noch für die Weiterleitung von DNS Anfragen zusätzlich noch die Google DNS 8.8.8.8 und 8.8.4.4
hinzugefügt.

Scheinbar werden auch andere Anwendungen gebremst, bei SFIRM fällt es halt extrem auf.

Gruß Marco

Content-Key: 350568

Url: https://administrator.de/contentid/350568

Printed on: December 3, 2022 at 00:12 o'clock

Member: clSchak
clSchak Oct 01, 2017 at 09:09:38 (UTC)
Goto Top
Hi

ich würde nicht den GoogleDNS verwenden, verwende stattdessen den des Providers:

http://www.stanar.de/ eine Liste aller öffentlichen DNS Server einzelnen Provider, DTAG hat sogar Zonenbezogene DNS Server

Welche DNS Settings sind am DC eingestellt, also welche Adressen sind dort bei den IP Einstellungen eingetragen?

Gruß
@clSchak
Member: emeriks
emeriks Oct 01, 2017, updated at Oct 02, 2017 at 06:49:43 (UTC)
Goto Top
Hi,
um das interne - scheinbare - DNS-Problem zu untersuchen, würde ich zunächst die Weiterleitungen nach Extern vorübergehend komplett raus nehmen. Dann das Szenario erneut durchspielen.
Weiterhin auf beiden DNS-Servern das erweiterte Debuglog aktivieren. Den betreffenden Computer testen. Dann die Logfiles auf den DNS-Servern sichten, welche Namen dieser Computer aufzulösen versucht.
Ich vermute, dass der Computer irgendeinen Namen auflösen will und dafür von den internen DNS-Servern eine "falsche" Adresse bekommt. Oftmals ist es schlimmer, vom DNS-Server eine falsche Adresse zu bekommen als wenn er den Namen gar nicht auflösen konnte und gar keine Adresse liefert. Bei einer falschen Adresse versuchen die Programme damit zu arbeiten und je nachdem, wie lang die Timeouts für die konkret verwendeten Protokolle sind, dauert das dann länger, als wenn sie es bei fehlender Adresse gar nicht erst versuchen können. Dabei muss es sich dann noch nicht einmal um eine "lebenswichtige" Funktion des Programms handeln. D.h. es sieht trotzdem für den Anwender so aus, als wenn es in beiden Konstellationen doch korrekt laufen würde.

E.
Member: AndiEoh
AndiEoh Oct 02, 2017 at 11:14:43 (UTC)
Goto Top
Hallo,

prüf mal nach ob ein Problem mit EDNS vorliegt:

https://weblogs.asp.net/owscott/windows-server-2008-r2-dns-issues
https://www.dns-oarc.net/oarc/services/replysizetest

entgegen der früheren Empfehlung EDNS auszuschalten solltest du allerdings die Komponenten austauschen/erneuern die immer noch nicht mit EDNS umgehen können.

Ich nehme an die DCs haben die Firewall als Forward eingetragen und gehen nicht per UDP Port 53 nach draußen? Falls doch solltest du die Firewall Regeln prüfen und mindestens TCP Port 53 zusätzlich freischalten.

Gruß

Andi