14
DNS Problem bei Auflösung Lancom VPN
Hallo,
wir haben an einer Aussenstelle 10.0.0.3 / 24 , die per VPN Tunnel verbunden ist ein problem bei der Namensauflösung.
Im lancom der aussenstelle ist der DNS Server ausgestellt und die DNS Server werdne per DHCP verteilt:
1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist)
2. DNS: 8.8.8.8
Sinn der sache war, dass wenn die zentrale mal komplett platt ist, dass am aussenstandort zumindest das Internet noch geht
Kommen wir nun zum Problem:
Bei der Auflösung von Fileserver oder Mailserver DNS namen: Form: "fs.firmadc.local" oder einfach nur "fs" kann diese nicht aufgelöst werden.
nslookup interessanterweise klappt aber. beim zugriff per Explorer oder ping auf "\\fs\freigaben" dann wieder ein Problem. Ein ipconfig /registerdns klann hier leider nur kurzweilig helfen. Neustart genauso wenig.
Wie ist dieses Phänomen zu erklären? wieso wird der 1. DNS server nicht genutzt?
Die PC's sind Windows 7 Büro Clients, die ebenfalls in der Domäne sitzen.
Danke für eure Hilfe
wir haben an einer Aussenstelle 10.0.0.3 / 24 , die per VPN Tunnel verbunden ist ein problem bei der Namensauflösung.
Im lancom der aussenstelle ist der DNS Server ausgestellt und die DNS Server werdne per DHCP verteilt:
1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist)
2. DNS: 8.8.8.8
Sinn der sache war, dass wenn die zentrale mal komplett platt ist, dass am aussenstandort zumindest das Internet noch geht
Kommen wir nun zum Problem:
Bei der Auflösung von Fileserver oder Mailserver DNS namen: Form: "fs.firmadc.local" oder einfach nur "fs" kann diese nicht aufgelöst werden.
nslookup interessanterweise klappt aber. beim zugriff per Explorer oder ping auf "\\fs\freigaben" dann wieder ein Problem. Ein ipconfig /registerdns klann hier leider nur kurzweilig helfen. Neustart genauso wenig.
Wie ist dieses Phänomen zu erklären? wieso wird der 1. DNS server nicht genutzt?
Die PC's sind Windows 7 Büro Clients, die ebenfalls in der Domäne sitzen.
Danke für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 465691
Url: https://administrator.de/contentid/465691
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
14 Kommentare
Neuester Kommentar
Moin,
Wie Du ja merkst, geht das so nicht wirklich. Deshalb würde ich den Lancom-DNS einschalten und eine Weiterleitung für die internen Adressen auf den Firmen-DNS eintragen. Das funktioniert einerseits und andererseits klappen die Auflösungen der externen Adressen immer und gehen immer schneller, da sie nie über den Firmen-DNS in der Zentrale laufen. Wie das geht, findest Du hier: https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa107149 ...
hth
Erik
Zitat von @aif-get:
Im lancom der aussenstelle ist der DNS Server ausgestellt und die DNS Server werdne per DHCP verteilt:
1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist)
2. DNS: 8.8.8.8
Sinn der sache war, dass wenn die zentrale mal komplett platt ist, dass am aussenstandort zumindest das Internet noch geht
Im lancom der aussenstelle ist der DNS Server ausgestellt und die DNS Server werdne per DHCP verteilt:
1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist)
2. DNS: 8.8.8.8
Sinn der sache war, dass wenn die zentrale mal komplett platt ist, dass am aussenstandort zumindest das Internet noch geht
Wie Du ja merkst, geht das so nicht wirklich. Deshalb würde ich den Lancom-DNS einschalten und eine Weiterleitung für die internen Adressen auf den Firmen-DNS eintragen. Das funktioniert einerseits und andererseits klappen die Auflösungen der externen Adressen immer und gehen immer schneller, da sie nie über den Firmen-DNS in der Zentrale laufen. Wie das geht, findest Du hier: https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa107149 ...
hth
Erik
8.8.8.8 als DNS einzustellen machen heutzutage nur noch Dummies. Jeder halbwegs informierte Netzwerker weiss das Google vom DNS und damit Surf- und Internetverhalten detailierte Profile erstellt und diese mit 3ten weiter vermarktet.
Sowas ist ein absolutes NoGo, ganz besonders in Firmennetzen !
Wenn man überhaupt externe DNS statt die seines Providers verwendet dann wenigstens solche OHNE Schnüffelfunktion:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Normal kommt als 2ter DNS dort der des Providers hin.
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Über kurz oder lang kommt es also zu Problemen im Netz wenn man diese nutzt. Welche lokalen DNS Namen sinnvoll und nutzbar sind erklärt dieser Artikel:
https://www.heise.de/select/ct/2017/26/1513540412603853
Zum Rest ist ja oben schon alles gesagt...
Sowas ist ein absolutes NoGo, ganz besonders in Firmennetzen !
Wenn man überhaupt externe DNS statt die seines Providers verwendet dann wenigstens solche OHNE Schnüffelfunktion:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Normal kommt als 2ter DNS dort der des Providers hin.
Form: "fs.firmadc.local"
Auch ein grober Fehler, denn .local als Root Domain ist Tabu ! Diese Domain ist weltweit für das mDNS Protokoll reserviert und wird aktiv genutzt:https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Über kurz oder lang kommt es also zu Problemen im Netz wenn man diese nutzt. Welche lokalen DNS Namen sinnvoll und nutzbar sind erklärt dieser Artikel:
https://www.heise.de/select/ct/2017/26/1513540412603853
Zum Rest ist ja oben schon alles gesagt...
Hallo, danke für die Hilfe, werde es mal mit der DNS weiterleitung probieren.
Aber als grund kann ich nun sagen, dass dort der public DNS bevorzugt genommen wurde, weil schneller zu erreichen? Ich würde gerne da den grund erfahren, weshalb der LANCOM nicht die Reihenfolge 1. DNS und 2. DNS nach priorität nutzt, obwohl beide erreichbar sind.
Zu dem 8.8.8.8 : Den habe ich stellvertretende als Public DNS hier genommen, wir nutzen da einen eigenen vom ISP der schenll genug und immer erreichbar ist ;)
zu dem .local mDNS problem habe ich bisher keine Probleme gehabt, allerdings schon ein Problem, das stimmt! Die Domäne wurde so damals benannt, wie bei vielen anderen Firmen "leider" auch.
Ein umbennen der gersamten Domäne bringt daher leider zu viel mehrarbeit und Probleme mit sich. Leider.
Aber als grund kann ich nun sagen, dass dort der public DNS bevorzugt genommen wurde, weil schneller zu erreichen? Ich würde gerne da den grund erfahren, weshalb der LANCOM nicht die Reihenfolge 1. DNS und 2. DNS nach priorität nutzt, obwohl beide erreichbar sind.
Zu dem 8.8.8.8 : Den habe ich stellvertretende als Public DNS hier genommen, wir nutzen da einen eigenen vom ISP der schenll genug und immer erreichbar ist ;)
zu dem .local mDNS problem habe ich bisher keine Probleme gehabt, allerdings schon ein Problem, das stimmt! Die Domäne wurde so damals benannt, wie bei vielen anderen Firmen "leider" auch.
Ein umbennen der gersamten Domäne bringt daher leider zu viel mehrarbeit und Probleme mit sich. Leider.
OKay also das Problem besteht doch weiterhin leider.
Es findet keine Auflösung statt und beim nslookup bekomem ich request timeouts für den DNS Server. Liegt es vllt daran?
Wenn ich nur einen Statisch eintrage, keine Probleme, aber das möchte ich ja bewusst nicht um eine Art Fallback zu haben.
Es findet keine Auflösung statt und beim nslookup bekomem ich request timeouts für den DNS Server. Liegt es vllt daran?
Wenn ich nur einen Statisch eintrage, keine Probleme, aber das möchte ich ja bewusst nicht um eine Art Fallback zu haben.
Moin,
Was hast Du getan? Und bei welchem Server bekommst Du die Timeouts?
Liebe Grüße
Erik
Zitat von @aif-get:
OKay also das Problem besteht doch weiterhin leider.
Es findet keine Auflösung statt und beim nslookup bekomem ich request timeouts für den DNS Server. Liegt es vllt daran?
Wenn ich nur einen Statisch eintrage, keine Probleme, aber das möchte ich ja bewusst nicht um eine Art Fallback zu haben.
OKay also das Problem besteht doch weiterhin leider.
Es findet keine Auflösung statt und beim nslookup bekomem ich request timeouts für den DNS Server. Liegt es vllt daran?
Wenn ich nur einen Statisch eintrage, keine Probleme, aber das möchte ich ja bewusst nicht um eine Art Fallback zu haben.
Was hast Du getan? Und bei welchem Server bekommst Du die Timeouts?
Liebe Grüße
Erik
Hallo,
bei dem 1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist) bekomme ich Timeouts für den DNS lookup von fs (das ist der Hostname des Fileservers)
Sobald ich einen WINS Server zutrage klappt es, aber da sist ja nun auch nicht die Lösung? Zumal wir von WINS komplett weg wollen.
Wenn ich den 10.0.0.2 Statisch im Client eintrage löst er auf, nunja das muss er ja auch. Er hat keinen 2. DNS und somit keine andere Wahl ;)
Das ist alles schön und gut, nur bei einem Ausfall der Leitung in der Zentrale, sind die Aussenstellen Clients komplett aufgeschmissen, daher der 2. DNS Server, der aber immernoch , irgendwie im weg zu stehen scheint.
Wie kann hier verfahren um das Phänomen zu lösen?
bei dem 1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist) bekomme ich Timeouts für den DNS lookup von fs (das ist der Hostname des Fileservers)
Sobald ich einen WINS Server zutrage klappt es, aber da sist ja nun auch nicht die Lösung? Zumal wir von WINS komplett weg wollen.
Wenn ich den 10.0.0.2 Statisch im Client eintrage löst er auf, nunja das muss er ja auch. Er hat keinen 2. DNS und somit keine andere Wahl ;)
Das ist alles schön und gut, nur bei einem Ausfall der Leitung in der Zentrale, sind die Aussenstellen Clients komplett aufgeschmissen, daher der 2. DNS Server, der aber immernoch , irgendwie im weg zu stehen scheint.
Wie kann hier verfahren um das Phänomen zu lösen?
bekomme ich Timeouts für den DNS lookup von fs
Kannst du ihne denn wenigstens pingen oder tracerouten, sprich überhaupt erstmal checken ob es eine grundlegende IP Verbindung gibt ?Bei den Clients wird ja immer erst der erste Server gefragt und dann der Zweite. Ist der Erste nicht erreichbar gibt es aber immer einen Timeout bevor der 2te gefragt wird. Dauert also entsprechend...
Moment,
Das passiert, wenn ich das richtig verstanden habe, wenn Du das per DHCP zuweist. Richtig?
Und das passiert, wenn Du die IP des DNS-Servers händisch beim Client einträgst? Auch richtig?
Was sagt denn ipconfig /all im ersten und im zweiten Fall?
Zitat von @aif-get:
Hallo,
bei dem 1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist) bekomme ich Timeouts für den DNS lookup von fs (das ist der Hostname des Fileservers)
Hallo,
bei dem 1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist) bekomme ich Timeouts für den DNS lookup von fs (das ist der Hostname des Fileservers)
Das passiert, wenn ich das richtig verstanden habe, wenn Du das per DHCP zuweist. Richtig?
Wenn ich den 10.0.0.2 Statisch im Client eintrage löst er auf, nunja das muss er ja auch. Er hat keinen 2. DNS und somit keine andere Wahl ;)
Und das passiert, wenn Du die IP des DNS-Servers händisch beim Client einträgst? Auch richtig?
Was sagt denn ipconfig /all im ersten und im zweiten Fall?
also sowohl per DHCP als auch statisch gilt:
Sobald ich zwei DNS server eintrage: (1. Der interne 2. Irgendein Public zB.) löst er nicht korrekt auf, bzw manchmal erst nach einem ipconfig /registerdns , das ich manuell auf dem Client ausführen muss.
Ping , Traceroute , gibt mir eine konstante Zeit und keinerlei timeouts aus. Es fiel nur bei dem nslookup auf.
PS. Habe grade eine andere Theorie: Wir hatten vor gut zwei wochen einen Komplettausfall in der Zentrale (Deshalb auch meine Intention für den zweiten öffentlich DNS Server) . Kann es daher sein, dass die Windows 7 Clients da noch irgendwas im Netzwerkstack Cache haben, was nicht sein sollte? Eigentlich nicht möglich, aber das mit dem registerdns fiel mir schon auf ind em Fall..
Sobald ich zwei DNS server eintrage: (1. Der interne 2. Irgendein Public zB.) löst er nicht korrekt auf, bzw manchmal erst nach einem ipconfig /registerdns , das ich manuell auf dem Client ausführen muss.
Ping , Traceroute , gibt mir eine konstante Zeit und keinerlei timeouts aus. Es fiel nur bei dem nslookup auf.
PS. Habe grade eine andere Theorie: Wir hatten vor gut zwei wochen einen Komplettausfall in der Zentrale (Deshalb auch meine Intention für den zweiten öffentlich DNS Server) . Kann es daher sein, dass die Windows 7 Clients da noch irgendwas im Netzwerkstack Cache haben, was nicht sein sollte? Eigentlich nicht möglich, aber das mit dem registerdns fiel mir schon auf ind em Fall..
Hat dein interner DNS Server eine Weiterleitung auf einen öffentlichen DNS eingestellt. Also entweder den des Providers oder einen ala 1.1.1.1 oder 9.9.9.9 ??
Das sollte zwimngend der Fall sein.
Hat er keine Weiterleitung würden öffentliche Hostnamen austimen und erst dann vom 2ten DNS aufgelöst werden können mit erheblichen Wartezeiten.
Das sollte zwimngend der Fall sein.
Hat er keine Weiterleitung würden öffentliche Hostnamen austimen und erst dann vom 2ten DNS aufgelöst werden können mit erheblichen Wartezeiten.
Hallo, ja es wurden Weiterleitungen für den DNS Server eingestellt. Drei stück, da kann also nichts ins leere laufen.
Hallo,
wollte mich mal kurz mit einem kleinen Update melden.
So wie es aussieht kann Windowss bei den Client einstellungen keine Kombination aus Internen DNS und Public DNS nutzen, da hier immer hin und her gesschaltet wird zwischen den beiden.
Daher auch probleme bei internen DNS auflösungen bestehen.
Beide DNS Server müssen da selbe wissen haben über die Records.
Frage wäre natürlich wie kann ich trotzdem eine Redundante lösung hier finden, wenn einmal der interne DNS Server ausfällt?
wollte mich mal kurz mit einem kleinen Update melden.
So wie es aussieht kann Windowss bei den Client einstellungen keine Kombination aus Internen DNS und Public DNS nutzen, da hier immer hin und her gesschaltet wird zwischen den beiden.
Daher auch probleme bei internen DNS auflösungen bestehen.
Beide DNS Server müssen da selbe wissen haben über die Records.
Frage wäre natürlich wie kann ich trotzdem eine Redundante lösung hier finden, wenn einmal der interne DNS Server ausfällt?
bei den Client einstellungen keine Kombination aus Internen DNS und Public DNS nutzen,
Nein, wie sollte das denn auch gehen ? Hellsehen welchen DNS Server bei welcher Anfrage er nehmen soll kann er ja nicht. Kein Client kann das...Deshalb gibt man Clients beim VPN Dialin über den VPN Server immer die DNS des lokalen LANs mit. Dieser hat dann logischerweise eine Weiterleitung auf den Proxy DNS des Routers oder einen Provider DNS.
So kann der VPN Client lokale Adressen auflösen und auch solche im Internet. Millionenfacher simpler Standard...
Beide DNS Server müssen da selbe wissen haben über die Records.
Wenn es 2 unterschiedliche Netze mit DNS sind ja. Sowas koppelt man aber dann auch mit einem Site to Site VPN und entsprechender DNS Weiterleitung dann in den Servern. Niemals aber mit einem VPN Client Dialin.Hier machst du wohl schon einen grundsätzlichen konzeptionellen Fehler ?!
Als quick and dirty Workaround kannst du aber auch alle remoten Hostnamen statisch in die hosts oder lmhosts Datei deines VPN Clients fest eintragen sofern das nicht zu viele sind.
Auch das würde ganz elegant dein "Problem" schnell und einfach lösen !
XP-Home mit 2 Kabelgebundenen und WLAN PCs
ja das stimmt, kann so wirklich nicht funzen dann.
Also in den Aussenstandorten die per vpn angebunden sind wollte ich ja lediglich den ersten DNS server priorisieren. Also der interne mit dem forwarding zu den providerdns.
Wenn dieser ausfällt (zB VPN verbindung aus irgendwelchen Gründen getrennt) dann soll zumindest ein zweiter einspringen, der public ist.
Also in den Aussenstandorten die per vpn angebunden sind wollte ich ja lediglich den ersten DNS server priorisieren. Also der interne mit dem forwarding zu den providerdns.
Wenn dieser ausfällt (zB VPN verbindung aus irgendwelchen Gründen getrennt) dann soll zumindest ein zweiter einspringen, der public ist.
