tranministrator
Goto Top

DNS Weiterleitung Zeitüberschreitung Windows Server

Hello liebe IT-Gemeinde!

Ich bekomme bei einigen Servern, nicht bei allen, die Verwehrung der Auflösung und die saubere Verwendung anderer DNS-Forwardern. Siehe Screenshot, Windows Server 2012 R2.

neue bitmap

Was kann ich hier prüfen bzw. was kann die Ursache für dieses Phänomen sein?

Bin für jede Idee offen.

Was habe ich bereits getan?
Perimeter-Firewall geprüft ob hier irgendwelche Regeln bestehen, welche dieses Verhalten auslösen. Keine gefunden bzw. fehlt mir hier auch der Background was von wo nach wo blockiert werden könnte, da ja die Auflösung direkt von dem Server weg ja funktioniert.

MFG

Rob

Content-ID: 667371

Url: https://administrator.de/forum/dns-weiterleitung-zeitueberschreitung-windows-server-667371.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Inf1d3l
Inf1d3l 07.06.2021 aktualisiert um 07:37:43 Uhr
Goto Top
Was sagt
dcdiag /test:dns /v /s:dcname /f:dcdiagreport.txt
?
emeriks
emeriks 07.06.2021 um 09:51:58 Uhr
Goto Top
Hi,
ich nehme an, der 192.168.0.254 ist Dein DSL-Router?
Und ich nehme weiterhin an, auf dem internen DNS-Server gibt es keinen PTR für diese IP-Adresse bzw. höchstwahrscheinlich noch nicht mal eine entsprechende Reverse-Lookup-Zone?

E.
aqui
aqui 07.06.2021 um 10:51:54 Uhr
Goto Top
Google DNS heutzutage zu verwenden machen nicht einmal mehr Dummies. Jederman weiss mittlerweile das diese davon Surf- und Verhaltensprofile erstellen und diese weltweit über Dritte vermarkten und dafür auch noch keine Steuern zahlen.
Wer also nur etwas von eigenem Datenschutz hält nutzt eine geringfügig Datenschutz freundlichere Alternative:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
https://www.heise.de/news/Besserer-Datenschutz-fuer-Surfer-DNS-Anbieter- ...
Generell sollte man bei US Dienstleistern aber Vorsicht walten lassen wegen der derzeit ungeklärten Rechtslage !
Inf1d3l
Inf1d3l 07.06.2021 um 11:10:20 Uhr
Goto Top
Ich würde einen Schritt weiter gehen und z.B. einen eigenen Resolver wie unbound benutzen. Unter Linux ist er schnell eingerichtet und viele Firewalls bringen ihn bereits mit.
ArnoNymous
ArnoNymous 07.06.2021 um 11:22:58 Uhr
Goto Top
Moin,

ich würde mir nochmal die Firewall anschauen, da ich da vor einiger Zeit ähnliches Problem habe. Ein Kollege hatte in der Sophos Availability Groups verwendet, was nicht so wirklich funktioniert hat.

Gruß
lcer00
lcer00 07.06.2021 um 12:19:39 Uhr
Goto Top
Hallo,
Zitat von @Tranministrator:

Hello liebe IT-Gemeinde!

Ich bekomme bei einigen Servern, nicht bei allen, die Verwehrung der Auflösung und die saubere Verwendung anderer DNS-Forwardern.
...
da ja die Auflösung direkt von dem Server weg ja funktioniert.
Der Lookup, der im DNS-MMC-SnapIn erfolgt, ist auch nur ein normaler DNS-Lookup. Ist es wirklich so, dass der Aufruf über nslookup klappt, nicht aber über das SnapIn?

Ansonsten, wie @ArnoNymous schon schrieb - bei den Firewalls nicht nur auf die klassischen Firewallregeln achten, sondern auch die Protokolle der IDS-Funktion durchsehen.

Grüße

lcer
Tranministrator
Tranministrator 07.06.2021, aktualisiert am 25.02.2022 um 14:35:03 Uhr
Goto Top
Hier ein Log Auszug:

@@+++LOG Beginn:@@****

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:

   * Die Verbindung mit dem Verzeichnisdienst auf Server dc wird

   hergestellt.

   * Identifizierte AD-Gesamtstruktur. 
   Collecting AD specific global data 
   * Standortinformationen werden gesammelt.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=blabla,DC=intern,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
   The previous call succeeded 
   Iterating through the sites 
   Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=blabla,DC=intern
   Getting ISTG and options for the site
   * Alle Server werden identifiziert.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=blabla,DC=intern,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
   The previous call succeeded....
   The previous call succeeded
   Iterating through the list of servers 
   Getting information for the server CN=NTDS Settings,CN=dc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=blabla,DC=intern 
   objectGuid obtained
   InvocationID obtained
   dnsHostname obtained
   site info obtained
   All the info for the server collected
   * Alle Querverweise des Namenskontexts werden identifiziert.

   * 1 Dom„nencontroller gefunden. 1 davon werden getestet.

   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\dc

      Starting test: Connectivity

         * Active Directory LDAP Services Check
         Determining IP4 connectivity 
         * Active Directory RPC Services Check
         ......................... dc hat den Test Connectivity bestanden.



Prim„rtests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\dc

      Test durch Benutzeranforderung ausgelassen: Advertising

      Test durch Benutzeranforderung ausgelassen: CheckSecurityError

      Test durch Benutzeranforderung ausgelassen: CutoffServers

      Test durch Benutzeranforderung ausgelassen: FrsEvent

      Test durch Benutzeranforderung ausgelassen: DFSREvent

      Test durch Benutzeranforderung ausgelassen: SysVolCheck

      Test durch Benutzeranforderung ausgelassen: KccEvent

      Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders

      Test durch Benutzeranforderung ausgelassen: MachineAccount

      Test durch Benutzeranforderung ausgelassen: NCSecDesc

      Test durch Benutzeranforderung ausgelassen: NetLogons

      Test durch Benutzeranforderung ausgelassen: ObjectsReplicated

      Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels

      Test durch Benutzeranforderung ausgelassen: Replications

      Test durch Benutzeranforderung ausgelassen: RidManager

      Test durch Benutzeranforderung ausgelassen: Services

      Test durch Benutzeranforderung ausgelassen: SystemLog

      Test durch Benutzeranforderung ausgelassen: Topology

      Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences

      Test durch Benutzeranforderung ausgelassen: VerifyReferences

      Test durch Benutzeranforderung ausgelassen: VerifyReplicas

   
      Starting test: DNS

         

         DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige

         Minuten...

         See DNS test in enterprise tests section for results
         ......................... dc hat den Test DNS bestanden.

   
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: Schema

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: Configuration

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: blabla

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Unternehmenstests werden ausgefhrt auf: blabla.intern

      Starting test: DNS

         Testergebnisse fr Dom„nencontroller:

            
            Dom„nencontroller: dc.blabla.intern

            Dom„ne: blabla.intern

            

                  
               TEST: Authentication (Auth)
                  Authentifizierungstest: Erfolgreich abgeschlossen
                  
               TEST: Basic (Basc)
                  Das OS

                  Microsoft Windows Server 2012 R2 Standard (Service Pack level: 0.0)

                  wird untersttzt.

                  NETLOGON-Dienst wird ausgefhrt.

                  kdc-Dienst wird ausgefhrt.

                  DNSCACHE-Dienst wird ausgefhrt.

                  DNS-Dienst wird ausgefhrt.

                  Dom„nencontroller ist ein DNS-Server.

                  Informationen zum Netzwerkadapter:

                  Adapter

                  [00000009] Gigabit-Netzwerkverbindung Intel(R) 82574L:

                     MAC address is 00:0C:29:1F:7E:12
                     IP-Adresse ist statisch. 
                     IP address: 192.168.0.1, fe80::fc3d:a927:9455:88c2
                     DNS-Server:

                        192.168.0.1 (dc.blabla.intern.) [Valid]
                  The A host record(s) for this DC was found
                  The SOA record for the Active Directory zone was found
                  The Active Directory zone on this DC/DNS server was found primary
                  Root zone on this DC/DNS server was not found
                  
               TEST: Forwarders/Root hints (Forw)
                  Recursion is enabled
                  Forwarders Information: 
                     192.168.0.254 (<name unavailable>) [Valid] 
                     8.8.8.8 (<name unavailable>) [Valid] 
                  
               TEST: Delegations (Del)
                  Delegation information for the zone: blabla.intern.
                     Delegated domain name: _msdcs.blabla.intern.
                        DNS server: dc.blabla.intern. IP:192.168.0.1 [Valid]
                  
               TEST: Dynamic update (Dyn)
                  Test record dcdiag-test-record added successfully in zone blabla.intern
                  Test record dcdiag-test-record deleted successfully in zone blabla.intern
                  
               TEST: Records registration (RReg)
                  Netzwerkadapter

                  [00000009] Gigabit-Netzwerkverbindung Intel(R) 82574L:

                     Matching CNAME record found at DNS server 192.168.0.1:
                     65f3e09c-f146-455b-bba6-dd78aeda76c9._msdcs.blabla.intern

                     Matching A record found at DNS server 192.168.0.1:
                     dc.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.121d7a2c-1dd7-4d79-b91e-da4e6cf8116c.domains._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._tcp.dc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.dc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._tcp.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._udp.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kpasswd._tcp.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.Default-First-Site-Name._sites.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._tcp.Default-First-Site-Name._sites.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.gc._msdcs.blabla.intern

                     Matching A record found at DNS server 192.168.0.1:
                     gc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _gc._tcp.Default-First-Site-Name._sites.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.pdc._msdcs.blabla.intern

         
         Zusammenfassung der Testergebnisse fr die von den oben aufgefhrten

         Dom„nencontrollern verwendeten DNS-Server:

         

            DNS-Server: 192.168.0.1 (dc.blabla.intern.)

               Alle Tests auf diesem DNS-Server bestanden

               Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
               DNS delegation for the domain  _msdcs.blabla.intern. is operational on IP 192.168.0.1

               
            DNS-Server: 192.168.0.254 (<name unavailable>)

               Alle Tests auf diesem DNS-Server bestanden

               
            DNS-Server: 8.8.8.8 (<name unavailable>)

               Alle Tests auf diesem DNS-Server bestanden

               
         Zusammenfassung der DNS-Testergebnisse:

         
                                            Auth. Bas. Weiterl. Entf.  Dyn.

            RReg. Erw.
            _________________________________________________________________
            Dom„ne: blabla.intern

               dc                       PASS PASS PASS PASS PASS PASS n/a  
         
         ......................... blabla.intern hat den Test DNS bestanden.

      Test durch Benutzeranforderung ausgelassen: LocatorCheck

      Test durch Benutzeranforderung ausgelassen: Intersite

@@+++LOG Ende:@@****
lcer00
lcer00 07.06.2021 um 16:21:52 Uhr
Goto Top
Hallo,

verräts Du uns noch
  • wer 192.168.0.1 ist
  • welche IP der DC hat?

Das Log kann man gut in setzen, das ist dann besser lesbar.

Grüße

lcer
Tranministrator
Tranministrator 21.06.2021 um 13:18:29 Uhr
Goto Top
Hello!

Sorry, das nächste Mal bin ich schlauer mit dem Code.
192.168.0.1 ist das DC mit dem DNS Dienst.

LG

Rob
Tranministrator
Tranministrator 21.06.2021 um 13:24:05 Uhr
Goto Top
Hello,

ja leider, im DNS-MMC-Snap kommt es zu einer Zeit Überschreitung und mit NSLOOKUP ist alles gut.
Man könnte ja meinen, dass dies die gleiche Abfrage ist.

Danke, werde mal die Firewall vom Dienstleister prüfen lassen.

LG

Rob
Tranministrator
Tranministrator 21.06.2021 um 13:28:36 Uhr
Goto Top
Hello!

Keine Sorge, bin gerade dabei hier aufzuräumen und saubere Anbieter zu verwenden face-smile.

LG

Rob
aqui
aqui 21.06.2021 um 14:54:37 Uhr
Goto Top
Statt sinnfreier und unübersichtlicher Einzelthreads im Minutenrythmus kann man Antworten auch intelligenterweise mit einem @1284... zu einem zusammenfassen. face-wink
Tranministrator
Lösung Tranministrator 24.06.2021 um 18:14:43 Uhr
Goto Top
@aqui:

Sorry, bin noch nicht so bewandert mit den Spezialfunktionen face-wink

Nach der Session mit unserem Firewall Spezialisten, konnten wir diese Zeit Überschreitung nicht nachvollziehen.
Ich konnte es aber mittlerweile aufdecken. Ich kann über NSLOOKUP mit allen eingetragenen Resolvern auflösen.
Nach derzeitigem Ermessen kann es nur ein Problem dieses Testtools sein, da der Rest ja funktioniert.

Danke für eure Hilfe!

LG

Rob
aqui
aqui 24.06.2021 um 18:20:23 Uhr
Goto Top
Foren FAQs lesen hilft manchmal... face-wink