DNS Weiterleitung Zeitüberschreitung Windows Server

Hello liebe IT-Gemeinde!

Ich bekomme bei einigen Servern, nicht bei allen, die Verwehrung der Auflösung und die saubere Verwendung anderer DNS-Forwardern. Siehe Screenshot, Windows Server 2012 R2.

Was kann ich hier prüfen bzw. was kann die Ursache für dieses Phänomen sein?

Bin für jede Idee offen.

Was habe ich bereits getan?
Perimeter-Firewall geprüft ob hier irgendwelche Regeln bestehen, welche dieses Verhalten auslösen. Keine gefunden bzw. fehlt mir hier auch der Background was von wo nach wo blockiert werden könnte, da ja die Auflösung direkt von dem Server weg ja funktioniert.

MFG

Rob

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 667371

Url: https://administrator.de/contentid/667371

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

14 Kommentare

Neuester Kommentar

Was sagt

dcdiag /test:dns /v /s:dcname /f:dcdiagreport.txt

Hi,
ich nehme an, der 192.168.0.254 ist Dein DSL-Router?
Und ich nehme weiterhin an, auf dem internen DNS-Server gibt es keinen PTR für diese IP-Adresse bzw. höchstwahrscheinlich noch nicht mal eine entsprechende Reverse-Lookup-Zone?

E.

Google DNS heutzutage zu verwenden machen nicht einmal mehr Dummies. Jederman weiss mittlerweile das diese davon Surf- und Verhaltensprofile erstellen und diese weltweit über Dritte vermarkten und dafür auch noch keine Steuern zahlen.
Wer also nur etwas von eigenem Datenschutz hält nutzt eine geringfügig Datenschutz freundlichere Alternative:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
https://www.heise.de/news/Besserer-Datenschutz-fuer-Surfer-DNS-Anbieter- ...
Generell sollte man bei US Dienstleistern aber Vorsicht walten lassen wegen der derzeit ungeklärten Rechtslage !

Ich würde einen Schritt weiter gehen und z.B. einen eigenen Resolver wie unbound benutzen. Unter Linux ist er schnell eingerichtet und viele Firewalls bringen ihn bereits mit.

Moin,

ich würde mir nochmal die Firewall anschauen, da ich da vor einiger Zeit ähnliches Problem habe. Ein Kollege hatte in der Sophos Availability Groups verwendet, was nicht so wirklich funktioniert hat.

Gruß

Hallo,

Zitat von @Tranministrator:

Hello liebe IT-Gemeinde!

Ich bekomme bei einigen Servern, nicht bei allen, die Verwehrung der Auflösung und die saubere Verwendung anderer DNS-Forwardern.
...
da ja die Auflösung direkt von dem Server weg ja funktioniert.

Der Lookup, der im DNS-MMC-SnapIn erfolgt, ist auch nur ein normaler DNS-Lookup. Ist es wirklich so, dass der Aufruf über nslookup klappt, nicht aber über das SnapIn?

Ansonsten, wie @ArnoNymous schon schrieb - bei den Firewalls nicht nur auf die klassischen Firewallregeln achten, sondern auch die Protokolle der IDS-Funktion durchsehen.

Grüße

lcer

Hier ein Log Auszug:

@@+++LOG Beginn:@@****

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:

   * Die Verbindung mit dem Verzeichnisdienst auf Server dc wird

   hergestellt.

   * Identifizierte AD-Gesamtstruktur. 
   Collecting AD specific global data 
   * Standortinformationen werden gesammelt.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=blabla,DC=intern,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
   The previous call succeeded 
   Iterating through the sites 
   Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=blabla,DC=intern
   Getting ISTG and options for the site
   * Alle Server werden identifiziert.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=blabla,DC=intern,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
   The previous call succeeded....
   The previous call succeeded
   Iterating through the list of servers 
   Getting information for the server CN=NTDS Settings,CN=dc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=blabla,DC=intern 
   objectGuid obtained
   InvocationID obtained
   dnsHostname obtained
   site info obtained
   All the info for the server collected
   * Alle Querverweise des Namenskontexts werden identifiziert.

   * 1 Dom„nencontroller gefunden. 1 davon werden getestet.

   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgefhrt.

   Server wird getestet: Default-First-Site-Name\dc

      Starting test: Connectivity

         * Active Directory LDAP Services Check
         Determining IP4 connectivity 
         * Active Directory RPC Services Check
         ......................... dc hat den Test Connectivity bestanden.

Prim„rtests werden ausgefhrt.

   Server wird getestet: Default-First-Site-Name\dc

      Test durch Benutzeranforderung ausgelassen: Advertising

      Test durch Benutzeranforderung ausgelassen: CheckSecurityError

      Test durch Benutzeranforderung ausgelassen: CutoffServers

      Test durch Benutzeranforderung ausgelassen: FrsEvent

      Test durch Benutzeranforderung ausgelassen: DFSREvent

      Test durch Benutzeranforderung ausgelassen: SysVolCheck

      Test durch Benutzeranforderung ausgelassen: KccEvent

      Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders

      Test durch Benutzeranforderung ausgelassen: MachineAccount

      Test durch Benutzeranforderung ausgelassen: NCSecDesc

      Test durch Benutzeranforderung ausgelassen: NetLogons

      Test durch Benutzeranforderung ausgelassen: ObjectsReplicated

      Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels

      Test durch Benutzeranforderung ausgelassen: Replications

      Test durch Benutzeranforderung ausgelassen: RidManager

      Test durch Benutzeranforderung ausgelassen: Services

      Test durch Benutzeranforderung ausgelassen: SystemLog

      Test durch Benutzeranforderung ausgelassen: Topology

      Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences

      Test durch Benutzeranforderung ausgelassen: VerifyReferences

      Test durch Benutzeranforderung ausgelassen: VerifyReplicas

      Starting test: DNS

         DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige

         Minuten...

         See DNS test in enterprise tests section for results
         ......................... dc hat den Test DNS bestanden.

   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   Partitionstests werden ausgefhrt auf: Schema

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   Partitionstests werden ausgefhrt auf: Configuration

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   Partitionstests werden ausgefhrt auf: blabla

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   Unternehmenstests werden ausgefhrt auf: blabla.intern

      Starting test: DNS

         Testergebnisse fr Dom„nencontroller:

            Dom„nencontroller: dc.blabla.intern

            Dom„ne: blabla.intern

               TEST: Authentication (Auth)
                  Authentifizierungstest: Erfolgreich abgeschlossen
                  
               TEST: Basic (Basc)
                  Das OS

                  Microsoft Windows Server 2012 R2 Standard (Service Pack level: 0.0)

                  wird untersttzt.

                  NETLOGON-Dienst wird ausgefhrt.

                  kdc-Dienst wird ausgefhrt.

                  DNSCACHE-Dienst wird ausgefhrt.

                  DNS-Dienst wird ausgefhrt.

                  Dom„nencontroller ist ein DNS-Server.

                  Informationen zum Netzwerkadapter:

                  Adapter

                  [00000009] Gigabit-Netzwerkverbindung Intel(R) 82574L:

                     MAC address is 00:0C:29:1F:7E:12
                     IP-Adresse ist statisch. 
                     IP address: 192.168.0.1, fe80::fc3d:a927:9455:88c2
                     DNS-Server:

                        192.168.0.1 (dc.blabla.intern.) [Valid]
                  The A host record(s) for this DC was found
                  The SOA record for the Active Directory zone was found
                  The Active Directory zone on this DC/DNS server was found primary
                  Root zone on this DC/DNS server was not found
                  
               TEST: Forwarders/Root hints (Forw)
                  Recursion is enabled
                  Forwarders Information: 
                     192.168.0.254 (<name unavailable>) [Valid] 
                     8.8.8.8 (<name unavailable>) [Valid] 
                  
               TEST: Delegations (Del)
                  Delegation information for the zone: blabla.intern.
                     Delegated domain name: _msdcs.blabla.intern.
                        DNS server: dc.blabla.intern. IP:192.168.0.1 [Valid]
                  
               TEST: Dynamic update (Dyn)
                  Test record dcdiag-test-record added successfully in zone blabla.intern
                  Test record dcdiag-test-record deleted successfully in zone blabla.intern
                  
               TEST: Records registration (RReg)
                  Netzwerkadapter

                  [00000009] Gigabit-Netzwerkverbindung Intel(R) 82574L:

                     Matching CNAME record found at DNS server 192.168.0.1:
                     65f3e09c-f146-455b-bba6-dd78aeda76c9._msdcs.blabla.intern

                     Matching A record found at DNS server 192.168.0.1:
                     dc.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.121d7a2c-1dd7-4d79-b91e-da4e6cf8116c.domains._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._tcp.dc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.dc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._tcp.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._udp.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kpasswd._tcp.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.Default-First-Site-Name._sites.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _kerberos._tcp.Default-First-Site-Name._sites.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.gc._msdcs.blabla.intern

                     Matching A record found at DNS server 192.168.0.1:
                     gc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _gc._tcp.Default-First-Site-Name._sites.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.blabla.intern

                     Matching  SRV record found at DNS server 192.168.0.1:
                     _ldap._tcp.pdc._msdcs.blabla.intern

         Zusammenfassung der Testergebnisse fr die von den oben aufgefhrten

         Dom„nencontrollern verwendeten DNS-Server:

            DNS-Server: 192.168.0.1 (dc.blabla.intern.)

               Alle Tests auf diesem DNS-Server bestanden

               Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
               DNS delegation for the domain  _msdcs.blabla.intern. is operational on IP 192.168.0.1

            DNS-Server: 192.168.0.254 (<name unavailable>)

               Alle Tests auf diesem DNS-Server bestanden

            DNS-Server: 8.8.8.8 (<name unavailable>)

               Alle Tests auf diesem DNS-Server bestanden

         Zusammenfassung der DNS-Testergebnisse:

                                            Auth. Bas. Weiterl. Entf.  Dyn.

            RReg. Erw.
            _________________________________________________________________
            Dom„ne: blabla.intern

               dc                       PASS PASS PASS PASS PASS PASS n/a  
         
         ......................... blabla.intern hat den Test DNS bestanden.

      Test durch Benutzeranforderung ausgelassen: LocatorCheck

      Test durch Benutzeranforderung ausgelassen: Intersite

@@+++LOG Ende:@@****

Hallo,

verräts Du uns noch

wer 192.168.0.1 ist
welche IP der DC hat?

Das Log kann man gut in setzen, das ist dann besser lesbar.

Grüße

lcer

Hello!

Sorry, das nächste Mal bin ich schlauer mit dem Code.
192.168.0.1 ist das DC mit dem DNS Dienst.

LG

Rob

Hello,

ja leider, im DNS-MMC-Snap kommt es zu einer Zeit Überschreitung und mit NSLOOKUP ist alles gut.
Man könnte ja meinen, dass dies die gleiche Abfrage ist.

Danke, werde mal die Firewall vom Dienstleister prüfen lassen.

LG

Rob

Hello!

Keine Sorge, bin gerade dabei hier aufzuräumen und saubere Anbieter zu verwenden

.

LG

Rob

Statt sinnfreier und unübersichtlicher Einzelthreads im Minutenrythmus kann man Antworten auch intelligenterweise mit einem @1284... zu einem zusammenfassen.

@aqui:

Sorry, bin noch nicht so bewandert mit den Spezialfunktionen

Nach der Session mit unserem Firewall Spezialisten, konnten wir diese Zeit Überschreitung nicht nachvollziehen.
Ich konnte es aber mittlerweile aufdecken. Ich kann über NSLOOKUP mit allen eingetragenen Resolvern auflösen.
Nach derzeitigem Ermessen kann es nur ein Problem dieses Testtools sein, da der Rest ja funktioniert.

Danke für eure Hilfe!

LG

Rob