aif-get
Goto Top

DNS Problem bei Auflösung Lancom VPN

Hallo,

wir haben an einer Aussenstelle 10.0.0.3 / 24 , die per VPN Tunnel verbunden ist ein problem bei der Namensauflösung.

Im lancom der aussenstelle ist der DNS Server ausgestellt und die DNS Server werdne per DHCP verteilt:

1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist)
2. DNS: 8.8.8.8

Sinn der sache war, dass wenn die zentrale mal komplett platt ist, dass am aussenstandort zumindest das Internet noch geht

Kommen wir nun zum Problem:

Bei der Auflösung von Fileserver oder Mailserver DNS namen: Form: "fs.firmadc.local" oder einfach nur "fs" kann diese nicht aufgelöst werden.

nslookup interessanterweise klappt aber. beim zugriff per Explorer oder ping auf "\\fs\freigaben" dann wieder ein Problem. Ein ipconfig /registerdns klann hier leider nur kurzweilig helfen. Neustart genauso wenig.

Wie ist dieses Phänomen zu erklären? wieso wird der 1. DNS server nicht genutzt?

Die PC's sind Windows 7 Büro Clients, die ebenfalls in der Domäne sitzen.

Danke für eure Hilfe

Content-ID: 465691

Url: https://administrator.de/forum/dns-problem-bei-aufloesung-lancom-vpn-465691.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

erikro
erikro 25.06.2019 um 10:03:38 Uhr
Goto Top
Moin,

Zitat von @aif-get:
Im lancom der aussenstelle ist der DNS Server ausgestellt und die DNS Server werdne per DHCP verteilt:

1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist)
2. DNS: 8.8.8.8

Sinn der sache war, dass wenn die zentrale mal komplett platt ist, dass am aussenstandort zumindest das Internet noch geht

Wie Du ja merkst, geht das so nicht wirklich. Deshalb würde ich den Lancom-DNS einschalten und eine Weiterleitung für die internen Adressen auf den Firmen-DNS eintragen. Das funktioniert einerseits und andererseits klappen die Auflösungen der externen Adressen immer und gehen immer schneller, da sie nie über den Firmen-DNS in der Zentrale laufen. Wie das geht, findest Du hier: https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa107149 ...

hth

Erik
aqui
aqui 25.06.2019 um 10:16:04 Uhr
Goto Top
8.8.8.8 als DNS einzustellen machen heutzutage nur noch Dummies. Jeder halbwegs informierte Netzwerker weiss das Google vom DNS und damit Surf- und Internetverhalten detailierte Profile erstellt und diese mit 3ten weiter vermarktet.
Sowas ist ein absolutes NoGo, ganz besonders in Firmennetzen !
Wenn man überhaupt externe DNS statt die seines Providers verwendet dann wenigstens solche OHNE Schnüffelfunktion:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Normal kommt als 2ter DNS dort der des Providers hin.
Form: "fs.firmadc.local"
Auch ein grober Fehler, denn .local als Root Domain ist Tabu ! Diese Domain ist weltweit für das mDNS Protokoll reserviert und wird aktiv genutzt:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Über kurz oder lang kommt es also zu Problemen im Netz wenn man diese nutzt. Welche lokalen DNS Namen sinnvoll und nutzbar sind erklärt dieser Artikel:
https://www.heise.de/select/ct/2017/26/1513540412603853
Zum Rest ist ja oben schon alles gesagt...
aif-get
aif-get 26.06.2019 um 15:14:36 Uhr
Goto Top
Hallo, danke für die Hilfe, werde es mal mit der DNS weiterleitung probieren.

Aber als grund kann ich nun sagen, dass dort der public DNS bevorzugt genommen wurde, weil schneller zu erreichen? Ich würde gerne da den grund erfahren, weshalb der LANCOM nicht die Reihenfolge 1. DNS und 2. DNS nach priorität nutzt, obwohl beide erreichbar sind.

Zu dem 8.8.8.8 : Den habe ich stellvertretende als Public DNS hier genommen, wir nutzen da einen eigenen vom ISP der schenll genug und immer erreichbar ist ;)

zu dem .local mDNS problem habe ich bisher keine Probleme gehabt, allerdings schon ein Problem, das stimmt! Die Domäne wurde so damals benannt, wie bei vielen anderen Firmen "leider" auch.
Ein umbennen der gersamten Domäne bringt daher leider zu viel mehrarbeit und Probleme mit sich. Leider.
aif-get
aif-get 28.06.2019 um 16:41:02 Uhr
Goto Top
OKay also das Problem besteht doch weiterhin leider.

Es findet keine Auflösung statt und beim nslookup bekomem ich request timeouts für den DNS Server. Liegt es vllt daran?

Wenn ich nur einen Statisch eintrage, keine Probleme, aber das möchte ich ja bewusst nicht um eine Art Fallback zu haben.
erikro
erikro 01.07.2019 um 08:43:55 Uhr
Goto Top
Moin,

Zitat von @aif-get:

OKay also das Problem besteht doch weiterhin leider.

Es findet keine Auflösung statt und beim nslookup bekomem ich request timeouts für den DNS Server. Liegt es vllt daran?

Wenn ich nur einen Statisch eintrage, keine Probleme, aber das möchte ich ja bewusst nicht um eine Art Fallback zu haben.

Was hast Du getan? Und bei welchem Server bekommst Du die Timeouts?

Liebe Grüße

Erik
aif-get
aif-get 01.07.2019 um 15:14:41 Uhr
Goto Top
Hallo,

bei dem 1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist) bekomme ich Timeouts für den DNS lookup von fs (das ist der Hostname des Fileservers)

Sobald ich einen WINS Server zutrage klappt es, aber da sist ja nun auch nicht die Lösung? Zumal wir von WINS komplett weg wollen.

Wenn ich den 10.0.0.2 Statisch im Client eintrage löst er auf, nunja das muss er ja auch. Er hat keinen 2. DNS und somit keine andere Wahl ;)

Das ist alles schön und gut, nur bei einem Ausfall der Leitung in der Zentrale, sind die Aussenstellen Clients komplett aufgeschmissen, daher der 2. DNS Server, der aber immernoch , irgendwie im weg zu stehen scheint.

Wie kann hier verfahren um das Phänomen zu lösen?
aqui
aqui 01.07.2019 um 15:55:46 Uhr
Goto Top
bekomme ich Timeouts für den DNS lookup von fs
Kannst du ihne denn wenigstens pingen oder tracerouten, sprich überhaupt erstmal checken ob es eine grundlegende IP Verbindung gibt ?
Bei den Clients wird ja immer erst der erste Server gefragt und dann der Zweite. Ist der Erste nicht erreichbar gibt es aber immer einen Timeout bevor der 2te gefragt wird. Dauert also entsprechend...
erikro
erikro 01.07.2019 um 17:09:49 Uhr
Goto Top
Moment,

Zitat von @aif-get:

Hallo,

bei dem 1. DNS: 10.0.0.2 (Das ist der DNS der Zentrale die auch domaincontroller DNS in einem ist) bekomme ich Timeouts für den DNS lookup von fs (das ist der Hostname des Fileservers)

Das passiert, wenn ich das richtig verstanden habe, wenn Du das per DHCP zuweist. Richtig?

Wenn ich den 10.0.0.2 Statisch im Client eintrage löst er auf, nunja das muss er ja auch. Er hat keinen 2. DNS und somit keine andere Wahl ;)

Und das passiert, wenn Du die IP des DNS-Servers händisch beim Client einträgst? Auch richtig?

Was sagt denn ipconfig /all im ersten und im zweiten Fall?
aif-get
aif-get 02.07.2019 um 16:05:22 Uhr
Goto Top
also sowohl per DHCP als auch statisch gilt:

Sobald ich zwei DNS server eintrage: (1. Der interne 2. Irgendein Public zB.) löst er nicht korrekt auf, bzw manchmal erst nach einem ipconfig /registerdns , das ich manuell auf dem Client ausführen muss.

Ping , Traceroute , gibt mir eine konstante Zeit und keinerlei timeouts aus. Es fiel nur bei dem nslookup auf.

PS. Habe grade eine andere Theorie: Wir hatten vor gut zwei wochen einen Komplettausfall in der Zentrale (Deshalb auch meine Intention für den zweiten öffentlich DNS Server) . Kann es daher sein, dass die Windows 7 Clients da noch irgendwas im Netzwerkstack Cache haben, was nicht sein sollte? Eigentlich nicht möglich, aber das mit dem registerdns fiel mir schon auf ind em Fall..
aqui
aqui 02.07.2019 aktualisiert um 17:00:38 Uhr
Goto Top
Hat dein interner DNS Server eine Weiterleitung auf einen öffentlichen DNS eingestellt. Also entweder den des Providers oder einen ala 1.1.1.1 oder 9.9.9.9 ??
Das sollte zwimngend der Fall sein.
Hat er keine Weiterleitung würden öffentliche Hostnamen austimen und erst dann vom 2ten DNS aufgelöst werden können mit erheblichen Wartezeiten.
aif-get
aif-get 03.07.2019 um 09:35:15 Uhr
Goto Top
Hallo, ja es wurden Weiterleitungen für den DNS Server eingestellt. Drei stück, da kann also nichts ins leere laufen.
aif-get
aif-get 18.10.2019 um 08:59:57 Uhr
Goto Top
Hallo,

wollte mich mal kurz mit einem kleinen Update melden.

So wie es aussieht kann Windowss bei den Client einstellungen keine Kombination aus Internen DNS und Public DNS nutzen, da hier immer hin und her gesschaltet wird zwischen den beiden.

Daher auch probleme bei internen DNS auflösungen bestehen.

Beide DNS Server müssen da selbe wissen haben über die Records.

Frage wäre natürlich wie kann ich trotzdem eine Redundante lösung hier finden, wenn einmal der interne DNS Server ausfällt?
aqui
aqui 18.10.2019 aktualisiert um 10:42:20 Uhr
Goto Top
bei den Client einstellungen keine Kombination aus Internen DNS und Public DNS nutzen,
Nein, wie sollte das denn auch gehen ? Hellsehen welchen DNS Server bei welcher Anfrage er nehmen soll kann er ja nicht. Kein Client kann das...
Deshalb gibt man Clients beim VPN Dialin über den VPN Server immer die DNS des lokalen LANs mit. Dieser hat dann logischerweise eine Weiterleitung auf den Proxy DNS des Routers oder einen Provider DNS.
So kann der VPN Client lokale Adressen auflösen und auch solche im Internet. Millionenfacher simpler Standard...
Beide DNS Server müssen da selbe wissen haben über die Records.
Wenn es 2 unterschiedliche Netze mit DNS sind ja. Sowas koppelt man aber dann auch mit einem Site to Site VPN und entsprechender DNS Weiterleitung dann in den Servern. Niemals aber mit einem VPN Client Dialin.
Hier machst du wohl schon einen grundsätzlichen konzeptionellen Fehler ?!
Als quick and dirty Workaround kannst du aber auch alle remoten Hostnamen statisch in die hosts oder lmhosts Datei deines VPN Clients fest eintragen sofern das nicht zu viele sind.
Auch das würde ganz elegant dein "Problem" schnell und einfach lösen !
XP-Home mit 2 Kabelgebundenen und WLAN PCs
aif-get
aif-get 18.10.2019 um 15:24:52 Uhr
Goto Top
ja das stimmt, kann so wirklich nicht funzen dann.

Also in den Aussenstandorten die per vpn angebunden sind wollte ich ja lediglich den ersten DNS server priorisieren. Also der interne mit dem forwarding zu den providerdns.

Wenn dieser ausfällt (zB VPN verbindung aus irgendwelchen Gründen getrennt) dann soll zumindest ein zweiter einspringen, der public ist.