letstryandfindout
Goto Top

DNS Fehler?

Hallo zusammen,

ich bin etwas ratlos. Ich habe heute einen alten Server, der nur App. Server war bei einem Kunden gewechselt gegen einen aktuellen inkl. Domäne etc. Da der vorherige Server vom Vorgänger nicht mal dies hatte. Soweit alles gut. Alle Clients in die Domäne gepackt und alles soweit fertig gemacht. Emails laufen über einen Provider per IMAP und liefen auch bis zum frühen Nachmittag. Seither habe ich im Outlook das Problem, dass er sich mit dem imap Server nicht mehr verbinden kann. Ich bin etwas ratlos. Wenn ich per nslookup imap.server.ch schaue bekomme ich als Antwort Name: imap.server.ch und Adress. 123.456.789.1. Also der DNS kann das ganze auflösen.

Hat jemand eine Idee wo der Hund begraben liegen könnte. Es ist ein frischer 2022 Server. Eine neue Domäne aktuell noch ohne DHCP da die FW noch gewechselt werden muss und ich noch keinen Zugriff habe um DHCP zu deaktivieren. Ein paar Shares und einer Applikation. Es geht alles, nur die EMails auf den Clients gehen auf einmal nicht mehr.

Vielen Dank

Content-ID: 6293700291

Url: https://administrator.de/contentid/6293700291

Ausgedruckt am: 05.11.2024 um 21:11 Uhr

Trommel
Trommel 09.03.2023 aktualisiert um 21:48:54 Uhr
Goto Top
Kommt denn ein Fehler ?

Hast Du das Konto im Outlook neu eingerichtet (sind ja frische Profile ? ) oder hattest Du es für den Domainjoin kopiert?

Passiert dies an allen Clients? Ging es schon mal nach der Aktion oder war am frühen Nachmittag der Cut?

Gibts irgendeine AntiVirus Lösung?

Ggf. kann es auch mit Zertifikaten zusammenhängen.

Nur so ein paar Ideen.

Trommel
letstryandfindout
letstryandfindout 09.03.2023 um 21:49:59 Uhr
Goto Top
Also das Problem betrifft alle Rechner. Ich habe es auch mit einem neuen Profil probiert. Symantec Endpoint sogar komplett gelöscht. Ich reiche Morgen früh noch schnell die Fehlermeldung nach. Er kann laut Meldung keine Verbindung zum Server aufbauen. Am Vormittag wo der neue Server schon lief konnten alle Mailen. Provider selber sagt es gäbe keine Probleme und am PC daheim konnte ich auf den IMAP zugreifen, als ich es im Thunderbird testen wollte.
Starmanager
Starmanager 09.03.2023 um 22:22:52 Uhr
Goto Top
Dann wuerde ich mal die Firewall genau anschauen und mit einen nicht in der Domaene eingebundenen Rechner an dem Netzwerk testen. Wenn der Router DHCP spielt gibt er auch die DNS Eintraege vor.
Hast Du eine Weiterleitung auf den Router fuer die DNS Aufloesung auf dem Domain Controller eingetragen?
Hat der neue Server die gleiche IP Adresse wie der Alte?
Wer loest denn dein NSlookup auf? Gib mal nur NSlookup ein und schau welcher Server antwortet.
Was macht ein Tracert auf die IP Adresse?
Dann wuerde ich auch noch einen Telnet probieren. Hier eine Anleitung
https://www.unixwitch.de/de/sysadmin/tools/imap-mit-ssl-testen
cykes
cykes 10.03.2023 aktualisiert um 06:52:11 Uhr
Goto Top
Moin,

schau auch mal auf den Clients, ob sich vielleicht das Netzwerkprofil spontan auf bspw. "Öffentliches Netzwerk" umgestellt hat.
Ist der Symantec Cloud Manageed oder läuft lokal noch ein Management-Dienst vom Symantec?

Vielleicht läuft seit dem Umzug in die Domäne auch die Windows Firewall Amok oder gar gleichzeitig mit dem Symantec?

Außerdem natürlich lokale Einstellungen der NIC checken, ob die noch den DNS des (neuen) AD drinstehen hat.

Gruß

cykes
commodity
commodity 10.03.2023 aktualisiert um 08:06:49 Uhr
Goto Top
Moinsen,

letstry einen Server zu installieren
andfindout dass das Netzwerk am Perimeter anfängt. face-big-smile

Spaß beiseite, wahrscheinlich war der Server notfallmäßig verreckt und es war eilig.
Denn in normalen Fällen wirst Du ja niemals hinter einer unbekannten Firewall bauen. Wenn Du einen Kunden übernimmst ist der erste Schritt die Kontrolle über das Netz. Volle Kontrolle. Sonst liegt doch auf der Hand, dass es "verwunderliche" Ergebnisse geben kann. Und wie willst Du so zuverlässig debuggen?

Und: Kunde und ehemaliger DL haben sich offenbar nicht mit Freuden getrennt, sonst hättest Du ja Zugriff. Also hat der ehemalige DL jetzt noch Zugriff auf Dein Kundennetz? Ich habe es noch nicht erlebt, aber es könnte da auch schlimme Finger geben, besonders, wenn einer im Streite geht.

Zur Problemlösung würde ich (neben dem Austausch der FW) vorgehen wie die Kollegen es oben beschreiben. Insbesondere die Tools, die der Kollege @Starmanager vorschlägt, sollten Aufschluss geben. Und wenn das noch nicht genug sagt, mal den Wireshark ranhängen und schauen, was da so rein- und rausgeht.

Nimm einen Router mit face-wink

Viele Grüße, commodity
letstryandfindout
letstryandfindout 10.03.2023 aktualisiert um 09:07:04 Uhr
Goto Top
Moin zusammen,

ich gebe dir voll und ganz Recht lieber commodity. Normalerweise habe ich eine komplette saubere Übergabe oder eben ich wechsel diese Komponenten gleich mit aus. Der vorherige ITler hat keinen Zugriff mehr, der hat nämlich einfach aufgehört. Zum Konstrukt vorher. Es gibt hier knapp 10 PCs welcher er als Workgroup zusammen gehängt hatte, obwohl es einen Server gab, welcher nur für eine Applikation galt. Keine DNS, DHCP, DC Rollen etc. sind auf dem installiert gewesen. Da hier 2 Büros von einem Provider mit der eigenen Lösung verbunden sind, konnte ich dies noch nicht anfassen, da ich es schlicht vom Inhaber nicht machen durfte. Was ich gemacht habe war den Server zu wechseln in der Form das ich einen 22er Server inkl. aller Rollen exkl. DHCP aktuell eingerichtet habe, alle PCs in die Domäne eingebunden habe inkl. Drucker und so weiter.

Es gibt hier 2 PCs die nicht angefasst wurden. Diese dienen als Kiosk für die Kunden. Wenn ich somit probiere dort das EMail Konto einzurichten, dann geht es dort auch nicht. Ich bekomme bei einem nslookup auf dem Server folgendes:

nslookup imap.xyz.ch
Server: localhost
Address: 127.0.0.1

Nicht autorisierende Antwort:
Name: imap.xyz.ch
Address: 185.68.xx.xxx

mache ich dies auf dem Client der nicht in der Domäne ist:

Server: UnKnown
Address: 192.168.1.1

Nicht autorisierende Antwort:
Name: imap.xyz.ch
Address: 185.68.xx.xxx

Auf dem Kiosk PC ist aktuell wirklich nur Windows am laufen mit deaktivierter FW + keinen Virenschutz um wirklich alles ausschliessen zu können.

Beim tracert bekomme ich auf dem Server:

tracert 185.68.xx.xxx

Routenverfolgung zu imap.tup.ch [185.68.xx.xxx]
über maximal 30 Hops:

1 6 ms 3 ms 4 ms 192.168.1.1
2 * * * Zeitüberschreitung der Anforderung.
3 4 ms 4 ms 4 ms i79zhb-015-ae21x1200.bb.ip-plus.net [193.134.xx.xx]
...
19 6 ms 6 ms 7 ms imap.xyz.ch [185.68.xx.xx]

auf dem Kiosk PC

1 5 ms 4 ms 3 ms 192.168.1.1
2 * * * Zeitüberschreitung der Anforderung.
...
19 7 ms 7 ms 6 ms 185.68.xx.xxx


Lieben Gruss und Danke für euren Input face-smile

Für mich sieht es nun so aus, dass er zur FW doch geht, dann hängen bleibt und eben weiter geht. Somit würde das doch etwas sein wo ich beim Anbieter des Internet Anschlusses anklopfen müsste?
erikro
erikro 10.03.2023 um 09:08:24 Uhr
Goto Top
Moin,

DNS ist es nicht. Du sagst ja selbst, dass nslookup das Richtige zurückgibt.

Firewall ist es. IMAP ist afaik in der Windows-Firewall im Standard gesperrt. Um das zu verifizieren, würde ich die einfach mal ausschalten.

hth

Erik
ArnoNymous
ArnoNymous 10.03.2023 um 09:15:39 Uhr
Goto Top
Moin,

was ist das denn für eine Firewall?
Hat sich was an den IP-Adressbereichen geändert?
Dann vielleicht ein Problem mit dem Masquerading oder NAT.

Gruß
erikro
erikro 10.03.2023 um 09:25:30 Uhr
Goto Top
Moin,

was passiert denn, wenn Du

telnet imap.server.tld 143
telnet imap.server.tld 993

versuchst? Kommt da was zurück? (Hinweis: Der telnet-Client muss in Windows aktiviert werden. Niemals den Server aktivieren.)

Liebe Grüße

Erik
commodity
commodity 10.03.2023 um 09:43:22 Uhr
Goto Top
Normalerweise habe ich eine komplette saubere Übergabe
Wenn das nicht der Fall ist, und Du nicht austauschen kannst/darfst, geht das dennoch nicht ohne Zugriff. Ein System anzufassen ohne Zugriff auf den zentralen Router und ohne, dass man weiß, was der so treibt, kann zum Totalzusammenbruch des Netzes führen, das ist doch nichts neues. Jedenfalls ziemlich mutig von Dir.

  • Korrektheit der Providerports für IMAP, SMTP geprüft? Was sagt ein telnet/openssl-Check vom Kiosk-Client auf diese?
  • Die Windows-Firewall zu deaktivieren, wenn der Telnet geht, ist natürlich Quatsch. IMAP und SMTP laufen hier ja Outbound. Was sollte die Windows-Firewall blocken, wenn die TCP-Verbindung steht?
Es gibt hier 2 PCs die nicht angefasst wurden.
  • Wenn die also außerhalb der Domäne laufen, Telnet die Verbindung anzeigt und es nicht geht, sollte die Domäne ja raus sein. Dann hast Du entweder das Mailkonto falsch eingerichtet, was ich für unwahrscheinlich halte oder
  • der Provider hat das Login gesperrt, vielleicht, weil seit der Umbauerei ein fehlkkonfigurierter Rechner zu viele fehlerhafte Logins produziert hat.
  • Hier hilft dann der Wireshark - der auch hilft, wenn ein Anruf beim Provider ergebnislos war face-wink

Viele Grüße, commodity
letstryandfindout
letstryandfindout 10.03.2023 aktualisiert um 11:18:36 Uhr
Goto Top
So da bin ich wieder. Ich habe mit dem Elektriker der für den Internet Anschluss verantwortlich ist telefoniert. Die beiden Router wurden auf die neuste FW aktualisiert und die Mappings neu geschrieben. Schau einer an, als das Internet wieder da war, ging auf einmal auch Outlook wieder. Das ganze dauerte zwar 2-3 Minuten an und danach gab es wieder den Timeout. Ich hatte gerade auch noch mal den Server komplett vom Netz genommen und wirklich nur noch einen Client mit dem Internet Anschluss hier am Netz gehabt. Ich warte nun auf einen Rückruf aber es muss ja wohl was mit den Regeln zu tun haben bei der Firewall? Wegen dem FW Tipp. Die Windows FW sind bei mir in Netzwerk per GPO deaktiviert.

Nach dem Update hat auch telnet kurz funktioniert.

Wegen der FW. Das sind zwei Geräte von der Swisscom die von denen verwaltet werden. Die bauen wohl eine Verbindung in RZ auf und verbinden dann dort die beiden Standorte Büro 1 und Büro 2.

  • Wenn die also außerhalb der Domäne laufen, Telnet die Verbindung anzeigt und es nicht geht, sollte die Domäne ja raus sein. Dann hast Du entweder das Mailkonto falsch eingerichtet, was ich für unwahrscheinlich halte oder

Sie laufen nur ausserhalb des Anschlusses. Sie laufen nicht in der Domäne und auch nicht ausserhalb der Domäne, solange es der gleiche Internet Anschluss ist.

  • Wenn die also außerhalb der Domäne laufen, Telnet die Verbindung anzeigt und es nicht geht, sollte die Domäne ja raus sein. Dann hast Du entweder das Mailkonto falsch eingerichtet, was ich für unwahrscheinlich halte oder der Provider hat das Login gesperrt, vielleicht, weil seit der Umbauerei ein fehlkkonfigurierter Rechner zu viele fehlerhafte Logins produziert hat.

Account stimmt und Anbieter von der Mail sagt auch das sie keine Probleme hätten und Account gehen würde. Aktuell nutzen sie den ja übers Webmail.

  • Korrektheit der Providerports für IMAP, SMTP geprüft? Was sagt ein telnet/openssl-Check vom Kiosk-Client auf diese?

telnet imap.xyz.ch
Verbindungsaufbau zu imap.xyz.ch...

Ist auf beiden.

Ich habe mit Wireshark noch nicht gearbeitet. Hab einfach das mal installiert und Log gestartet und versucht auf den IMAP zuzugreifen. Was genau müsstest du da sehen?

Was ich reproduzieren kann beim Versuch einen Aufbau zu machen wäre:

101 29.610762 192.168.1.35 185.68.xx.xxx TCP 66 [TCP Retransmission] [TCP Port numbers reused] 49895 → 993 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
102 29.617848 185.68.xx.xxx192.168.1.35 ICMP 94 Destination unreachable (Port unreachable)

Wenn das hilft.
commodity
commodity 10.03.2023 um 11:25:31 Uhr
Goto Top
Ich habe mit dem Elektriker der für den Internet Anschluss verantwortlich ist telefoniert. Die beiden Router...
???
Wegen der FW. Das sind zwei Geräte von der Swisscom die von denen verwaltet werden.
???
Welcher Telefonanbieter macht denn bitte Firewalling? Ich denke mal, das ist gar keine Firewall. Eher ein Gateway.
Schau einer an, als das Internet wieder da war, ging auf einmal auch Outlook wieder. Das ganze dauerte zwar 2-3 Minuten an und danach gab es wieder den Timeout.
Na dann ist ja schon mal klar, dass Deine Verbindungsdaten passen und es prinzipiell geht.
Nun könnte, warum auch immer, nach 2 Min. das Netzwerk zusammen brechen, aber alles andere scheint ja zu gehen.
Dynamische IP oder feste? Evtl. wird die neue IP erst nach einiger Zeit geblockt, weil immer noch ein Gerät ungültige Logins verschickt?
Ansonsten wirst Du wohl weiter mit der Swisscom telefonieren müssen.
Ich würde an dieser Stelle den Wireshark rausholen, um Fakten zu haben. Alternativ mal den Router der Swisscom ganz rauslassen und einen mobilen Router (kann auch ein Handy-Hotspot sein) einspeisen. Wenn Du darüber Verbindung bekommst: Swisscom. Wenn nicht: Deine Einrichtung.

telnet imap.xyz.ch
Verbindungsaufbau zu imap.xyz.ch...
Ist auf beiden.
Was heißt "Ist auf beiden"? Sind wir hier bei ComputerBase?

Sieht es etwa so aus?
Trying 185.68.xx.xxx...
Connected to ...net.
Escape character is '^]'.  
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS LOGINDISABLED] Dovecot ready.

Oder so?
 
Trying 185.68.xx.xxx...
Connected to 185.68.xx.xxx.
Escape character is '^]'.  
220 mail.xxx.de ESMTP Postfix

P.S.:
Die Windows FW sind bei mir in Netzwerk per GPO deaktiviert.
ohne Worte.

Dann mal ein schönes Wochenende face-wink Wir kennen das alle, denke ich.
Viele Grüße, commodity
erikro
erikro 10.03.2023 um 11:47:54 Uhr
Goto Top
Moin,

Zitat von @commodity:

Ich habe mit dem Elektriker der für den Internet Anschluss verantwortlich ist telefoniert. Die beiden Router...
???
Wegen der FW. Das sind zwei Geräte von der Swisscom die von denen verwaltet werden.
???
Welcher Telefonanbieter macht denn bitte Firewalling? Ich denke mal, das ist gar keine Firewall. Eher ein Gateway.

Na eine ganze Reihe bietet das als Business-Lösung an. Das findet man unter so netten Produktnamen wie Security as a Service. Hier in Deutschland z. B. die DETAG, Vodafone ... Und deshalb bin ich auch raus. Die Dinger sind dann so dicht geklopft, dass man nichts mehr sehen/machen kann. Deshalb kann ich dem TO nur raten, das dem Dienstleister vor die Füße zu werfen.

Liebe Grüße

Erik
commodity
commodity 10.03.2023 um 12:15:27 Uhr
Goto Top
Na eine ganze Reihe bietet das als Business-Lösung an.
OK, stimmt, da reiten einige die Welle... Habe das allerdings nicht in die Struktur eines kleinen Kunden, wie hier vom TO beschrieben, verortet. Wahrscheinlich aber laufen gerade die eher in solch eine Falle. Die großen haben ja im Normalfall ihre IT im Haus (noch).

Wie das dann funktionieren soll, mit einem Managed Service der DTAG kann man sich ja sehr plastisch vorstellen...
Muss auch richtig Spaß machen, Netzwerkstruktur und Regelwerk dann mit den Kollegen dort abzustimmen. 9 Server, 6 VLANs, 200 Rules. Das sind dann 20 kEUR im Jahr? Nur fürs Firewalling.
Für den DL aber eigentlich auch klasse. Der muss sich nicht mit Netzwerken rumquälen, hebt dann nur die Hände, fummelt ein bisschen Windows und fertig.

Und Fehler bei der Interaktion sind da ja geradezu zwingend. Was sich vielleicht auch in diesem Thread äußert.
Dein Netz, Deine Konfiguration, Deine Verantwortung. Alles andere ist Murks.

Viele Grüße, commodity
letstryandfindout
letstryandfindout 10.03.2023 um 13:35:31 Uhr
Goto Top
Ich bin mit dem Anbieter dran. Aber euch allen vielen Dank. Per Hotspot bei den PCs gehts. Ich hab dem Inhaber auch ein Wechsel ans Herz gelegt. Würde auch noch gut Geld sparen. Aktuell kümmert sich nun die Swisscom darum.

Wünsche euch noch ein schönes Wochenende.
commodity
commodity 10.03.2023 um 13:56:49 Uhr
Goto Top
Per Hotspot bei den PCs gehts.
Na dann ist ja alles klar, +1
Aktuell kümmert sich nun die Swisscom darum.
Ein Traum face-smile Dann hast Du ja doch noch Wochenende!

Viele Grüße, commodity
letstryandfindout
Lösung letstryandfindout 10.03.2023 um 14:33:33 Uhr
Goto Top
Am Ende lagen wir dann doch mit allem falsch. Es gab einen PC, der noch nicht bekannt war mit einem falschen Login. Nun hat der Mailserver anscheinend die WAN IP immer wieder dadurch dich gemacht. Habe nämlich soeben Antwort vom Techniker bekommen. Am Ende wird alles gut, der Bart wird grauer und ich kann immerhin Sorgenfrei ins Wochenende. Vielen lieben Dank euch allen.

@commodity eine Sache würde ich gerne von dir noch wissen. Wieso so entsetzt über die Windows FW per GPO aus machen? Denn die ist ja sowieso ersetzt durch den SEP Client? Wenn ich das so fragen darf.
Starmanager
Starmanager 10.03.2023 um 14:57:09 Uhr
Goto Top
Den falschen PC hast Du aber ins Netzwerk gebracht oder? Sonst waere das Problem wohl nicht aufgetreten.
commodity
commodity 10.03.2023 um 15:14:24 Uhr
Goto Top
lagen wir dann doch mit allem falsch...
Nee, Du hast entweder nicht korrekt gelesen oder nicht mitgedacht.
Ich, 9:43 h in kaum zu übertreffender Deutlichkeit:
der Provider hat das Login gesperrt, vielleicht, weil seit der Umbauerei ein fehlkkonfigurierter Rechner zu viele fehlerhafte Logins produziert hat.

Du darst so fragen oder anders. Dieses Forum ist doch dafür da, wenn ich es richtig verstehe face-wink
Denn die ist ja sowieso ersetzt durch den SEP Client
Das hatte ich nicht auf dem Schirm. Wollen wir hoffen, dass es was hilft face-smile

Viele Grüße, commodity