jollyjumper83
Goto Top

DYNDNS wird nicht aktualisiert

Ein kleines Problem macht mächtig Ärger face-smile

Hallo liebes Forum,

lange Zeit war alles ruhig, nun hab ich mal wieder ein kleines aber sehr nerviges Problem. Wir machen mittlerweile alle 2 Tage ein Backup unseres Systems, dieses Backup sende ich derzeit über ein immer bestehende Verbindung zu einem FTP Server mittels DYNDNS Account auf einen entfernten Server. Das funktioniert weitaus besser als ich zuvor angenommen hatte. Mein Problem ist allerdings folgendes:

Sender:

Windows Server 2003 SP2 Standart
DSL 6000 mit fester IP
Filezilla 3.3.4

Empfänger

Windows Server 2003 SP2 Standart
DSL 2000 mit DYNDNS Acc.
IIS 6.0 mit eingerichtetem FTP Server

Zum Problem. Der Empfänger hat eine softwareseitige DYNDNS-Aktualisierung. Funktioniert 1. Sahne. Ich habe gerademal eine Ausfallzeit von 5min bis die neue IP am DYNDNS hinterlegt ist. Jetzt ist es jedoch so, dass die Übermittlung ca 14 Std. in Anspruch nimmt, auch aufgrund der niedigen Datenrate die ich angesetzt habe um unseren Firmenanschluss nicht zusehr zu verlangsamen. Jetzt ist es vorgekommen das die Übermittlung noch gelaufen hat als die DYNDNS durch den 24Std. IP-Wechsel, am Empfänger, unterbrochen wurde. Das hatte ich auch eingeplant. Deshalb habe ich in Filezille eine Reconnectzeit von 600 Sekunden gestellt und 50 Wiederholungen angegeben um auch etwas längere Zeiten überbrücken zu können. Wenn ich allerdings an meinen Sender-Server gehe und die ftp://dyndns.adresse.com eingebe ruft er nicht wie erwartet, die FTP Seite auf sondern versucht unter der längst abgelaufenen IP den Server aufzurufen. Selbst wenn ich über "cmd" die DNS anpinge, nimmt er immerwieder die alte IP Adresse. Also er aktualisiert diese gar nicht. Gehe ich an einen Client und pinge von dort aus die DNS an, kommt auch eine Antwort da dieser die richtige, aktuelle IP anpingt. Ich kann am Sender machen was ich will erst wenn ich einen Neustart mache, aktualisiert er den DYNDNS und hinterlegt die aktuelle IP. Bis nach 24 Std. am Empfänger wieder die IP gewechselt wird.

Hat vieleicht irgendwer eine Ahnung wie ich dieses Problem beheben kann. Mir fehlt da jeglicher Ansatz.

Vielen Dank im vorraus
Simon

Content-ID: 132998

Url: https://administrator.de/contentid/132998

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

Pjordorf
Pjordorf 08.01.2010 um 16:56:04 Uhr
Goto Top
Hallo Simon,

dein Filezilla hat immer noch die ursprungliche IP im Speicher. Das ist ja auch bei dir erkennbar da ein anderer Client problemlos auf die dann neue IP pingt. Starte mal ein CMD Fenster und mache dort ein "ping name.dny.dns -t" . Du wirst feststellen, irgendwann gibt es keine Antworten mehr. Selbst das beenden des CMD Fensters hilft nicht direkt weiter, da die IP im Cache liegt. Entweder die zeit abwarten bis der cache abgelaufen ist , oder ipconfig /flushdns usw. das betrifft aber jetzt nur das CMD beispiel.

Ob du FileZilla sagen kannst, in einer laufenden Upload Sitzung auf einer neuen IP weiter zu machen, das kann ich dir nicht sagen.

Peter

[Nachtrag]
Deine Überschrift ist falsch. DynDns wird schon aktualisiert, dein laufender Client nicht.
[Nachtrag]
aqui
aqui 08.01.2010 um 17:42:32 Uhr
Goto Top
Sind die Server direkt im Internet exponiert ?? (hoffentlich nicht) oder ist ein Router davor ?
Wenn ein Router davor ist gehört der DynDNS Client niemals auf ein Endgerät hinder der NAT Firewall des Routers sondern immer auf den Router selber, da hier der NAT Prozess sitzt und nicht auf den Endgeräten. Dann kann es zu solchen Phänomenen kommen mit DynDNS und du solltest den Client dann auf dem Router in desse Setup aktivieren...und auf den Servern dann natürlich deaktivieren.
Das obige gilt natürlich nur wenn die Anbindung mit Routern gemacht ist und nicht direkt.
Aber wer stellt heutzutage auch schon einen Server mit MS Betriebsystem direkt ins Netz...eigentlich keiner dem sein Server lieb ist !
Pjordorf
Pjordorf 08.01.2010 um 18:01:23 Uhr
Goto Top
Hi aqui,

ich habe allerdings bei den meisten preiswert Routern (AVM, Netgear, D-Link, Linksys etc) die efahrung machen müssen, das bei Fester IP mit xDSL wie beispielsweise der Business DSL der T-COM, Dyndns dann nicht mehr vom Router aus aktualisiert wird. Da die IP sich ja nach einer zwangstrennung NICHT ändert, haben die Router keine veranlassung die IP bei Dyndns zu aktualisieren. Ergebniss: nach 4 Wochen fliegt der Eintrag aus der Dyndns datenbank. Da ist dann ein Dyndns Updater auf einen Client/Server die bessere wahl. Auch bei einigen Stadtwerken hier wo mittlerweile ein ethernet mit DSL bandbreiten angeboten wird, haben die Router (die ja dann einfache ethernet Router sind) kein veranlassung die IP zu aktualiseren, da die Stadtwerke hier einfach zu 99% die gleiche IP verwenden. (Bei einem Kunden wurde für 19 Monaten die IP nicht geändert, obwohl 122 kurzzeitige trennungen vorhanden sind. Erst nachdem der Ethernetanschluß für 10 Minuten getrennt war, gab es eine neue IP. Und nein, diese Stadwerke Verkaufen keine Feste IP).

Ansonsten völlig klar, der Dyndns muss auf den Router

Aber zum obigen Thema, Simon hatte ja geschrieben das die IP an einem anderen Client nach der zwangstrennung schon die neue, richtige war. Damit hat die Ip Aktualisierung bei Dyndns ja einwandfrei funktioniert.

Peter

@aqui: Es gibt immer noch zu viele die ihre Rechner ungeschützt ins Internet stellen und es werden nicht weniger.
aqui
aqui 08.01.2010 um 18:15:03 Uhr
Goto Top
Hi Peter !
OK, das mag sein und dann hast du recht aber wenn man eine feste IP hat dann braucht man auch nicht wirklich einen DynDNS Dienst mehr...wo sollte da der tiefere Sinn sein ??
Pjordorf
Pjordorf 08.01.2010 um 18:32:43 Uhr
Goto Top
Hi aqui,

OK, das mag sein und dann hast du recht aber wenn man eine feste IP hat dann braucht man auch nicht wirklich einen DynDNS Dienst
mehr...wo sollte da der tiefere Sinn sein ??
Ich kann mir IP Adressen so schlecht merkenface-smile

Peter
62929
62929 08.01.2010 um 18:45:38 Uhr
Goto Top
Hallochen,

irgendwie ist da total der Wurm drin oder? Zumindest im Verständnis.

Du sagst du hast 1 Kiste hinter ner festen IP und 1 Kiste hinter ner dyndns Adresse. Aber auch sagst du, das der Anschluss hinter dem die dyndns Kiste steht auch eine feste IP hat??

ich versteh das auch so wie aqui, er hat vollkommen Recht, das macht dyndns mehr als überflüssig.

Und dein Argument mit den IPs merken kann ich auch so gar nicht nachvollziehen, wenn du Backups fährst, passiert das doch automatisch oder? Da wird die Gegenüber IP einmal eingetragen und gut ist.
Und sollten sie nicht automatisch laufen und du keine Lust hast die IP Adresse immer aus ner Textdatei zu kopieren, dann kauf dir doch ne Domain für nen Euro im Monat und mach eine Weiterleitung.

Gruß
dante!
JollyJumper83
JollyJumper83 08.01.2010 um 19:39:34 Uhr
Goto Top
Oh hopalla ne dann hab ich mich versehentlich falsch ausgedrückt. Also der Sender, in dem Fall unser Firmen Server hat eine feste IP. Der Empfänger ist ebenfalls ein Server einer unserer Zweigstellen, ist im normalfall ein Datenserver u. ein DC, damit allerdings aus versicherungstechnischen Gründen eine vollstände DS stattfindet, müssen natürlich diese Daten extern und nicht in den gleichen vier Wänden gespeichert werden. Dieser Empfänger, hat KEINE feste IP und ist vorrübergehend mit einem DYNDNS Acc. ausgestattet.

ALso

Sender ---> Feste IP
Empfänger ----> Dynamische IP u. DYNDNS

Also ich denke jeder kann mir bestätigen das die DNS Variante im Router, also die Aktualisierung nie 100%ig, funktioniert. Es sei den man hat die dementsprechende Hardware. Was ich jedoch nicht nachvollziehen kann warum dieser Dienst nicht auf einem Server laufen sollte, dadurch entsteht weder eine Sicherheitslücke, noch frist es unmengen an Ressourcen. Aber egal das ist ja jetzt nicht Gegenstand meiner Frage gewesen.

Um das nochmal zu klären, der Sender von dem die Dateien auf den Empfänger geladen werden, erkennt nicht das hinter dem DYNDNS des Empfängers eine neue IP hinterlegt wurde. ( Es ist definitiv kein Problem mit dem DNDNS Acc. selber das kann ich anhand der Einträge auf www.Dyndns.org nachvollziehen, das funktioniert 1000%ig) Weder mit cmd u. ping noch mit Filezille oder sonstige Programme.
Daher ja auch meine Frage ob man die irgendwie automatisch intervalltechnisch erneuern kann. Für mich steht weniger im Vordergrund ob man das so macht oder nicht, derzeit ist das eine günstige Alternative, die sich bislang als sehr positiv gemustert hat.
JollyJumper83
JollyJumper83 08.01.2010 um 20:42:52 Uhr
Goto Top
Pjordorf
"....Entweder die zeit abwarten bis der cache abgelaufen ist , oder ipconfig /flushdns usw. das..... "

Ok hab mir deine Antwot gerade nochmal durchgelesen. Du schreibst bis der Cache abgelaufen ist, kann ich diese Zeit beeinflussen und wenn hat das auch auswirkungen auf andere Anwendungen vom Standard Server. ( Bei z.B. 1 Std. Intervall )
JollyJumper83
JollyJumper83 08.01.2010 um 21:58:03 Uhr
Goto Top
Sooo hab jetzt den KB von Microsoft gefunden http://support.microsoft.com/kb/318803/de und probiere das mal aus. Ich nehme mal an es wird keine weiteren Auswirkungen auf den Server haben. Falls noch was unerwartet passiert werde ich es hier posten ansonsten werde ich den Thread morgen als gelöst markieren.

Vielen Dank für die Antworten. baba
Pjordorf
Pjordorf 08.01.2010 um 23:01:56 Uhr
Goto Top
Hallo Simon,

da es sich ja um eine Aussenstelle von euch handelt, stellt sich doch die Frage warum du kein VPN machst? Damit kann sich dann die WAN IP der Zweigstelle ändern soviel die will, solange dein VPN innerhalb deiner timeout für dein Filezilla wieder verbunden ist, hast du doch keine Probleme mehr. Du würdest ja dann mit internen IP's arbeiten, und die ändern sich ja eigentlich nicht, sondern sind wieder nachdem der VPN steht wieder verfügbar. Und, du musst den Telnet Port gar nicht offen und auf den Server weitergeleitet haben.

Vielleicht können deine noch nicht genannten Router (hast du ja, oder?) schon VPN.

Alles andere ist doch murks.

Peter
aqui
aqui 09.01.2010 um 14:20:16 Uhr
Goto Top
@JollyJumper83
...und immer noch hast du uns nicht mitgeteilt ob du so leichtsinnig bist und die Server direkt (also ohne NAT Router) im Internet betreibst oder eben mit NAT Router, was man nur hoffen kann.
Wenn dem so ist gilt immer noch der Apell den DynDNS Client auf dem Router zu implementieren wo er auch hingehört und eben NICHT als Client auf die Server !
Wir nehmen mal nicht an das du so leichtsinnig und unbedarft bist einen MS Server direkt im Internet zu betreiben wie nur Sicherheits Neandertaler es machen würden... Wenn das Lucky Luke wüsste....
Ansonsten gilt der Kommentar in Bezug auf VPN von Pjordorf. Kundige ITler die wissen was sie tun lösen das mit einem VPN. Wie das geht kannst du ach bei MS nachlesen:
http://www.microsoft.com/downloads/details.aspx?familyid=a93e566c-92c7- ...
JollyJumper83
JollyJumper83 09.01.2010 um 21:12:22 Uhr
Goto Top
Sooo nun mal zu dem Thema Router face-smile natürlich sind alle Server hinter Routern und auch die Portsituation ist nur auf das Minimum geöffnet bzw weitergeleitet. Also das ist schon sicher. Um nochmal kurz anzudeuten, ich denke wenn ich ein gelernter Systemadministrator wäre würde ich ab jetzt keinen Job mehr haben. face-smile Mache das jedoch aus Lust und Interesse an der Materie. Ich habe ach heute diese ganze Kiste mit dem FTP übern Jordan geworfen und eine VPN eingerichtet , wobei ich ganz klar sagen muss es handelt sich um zwei unterschiedliche Domänen. Die Verbindung steht zwar und ich kann auh die Datei mittels Netzlaufwerk übertragen, ich bin mir aber nicht sicher wie das wird wenn nach 24 Std. die Verbindung unterbrochen wird. Dann wird doch bestimmt auch der Upload unterbrochen oder ?
JollyJumper83
JollyJumper83 09.01.2010 um 21:30:54 Uhr
Goto Top
Achso nochmal zum DYNDNS, ich habe das mit Routern schon öffter gehabt. (Die Betonung liegt auf Routern) anfänglich synchronisieren sie den Account noch aber nach einiger Zeit machen sie das nicht mehr. Wir projektieren Videoüberwachungsanlagen und immer öfftern ist das bei Privatanlagen, dass die von Besitzer von irgendwo auf der Welt einen Blick in ihren Garten oder dem Luxusschlitten in der Garage werfen möchten. Wir haben in diesen Fällen anfänglich immer mit dem DYNDNS Service im Router gearbeitet aber die Zuverlässigkeit ist extrem schlecht. Mittlerweile machen wir das ausschließlich über feste IP-Adressen. Dann hat man diesen ganzen Ärger nicht. Wir führen derzeit noch 8 Anlagen mit DYNDNS Acc. Man kann da im Schnitt sagen das einmal im viertel Jahr der Router neu gestartet werden muss. Das eigentlich echt schlecht.
Aber jetzt nochmal meine Frage. Der Service der auf dem Server die IP zu dyndns schickt, kann doch keine Sicherheitslücke sein oder? Warum ich das Frage, wir haben für ein großes Medizinisches Labor in Deuschland eine Überwachungs- u. Zutrittsanlage ausgeführt, dort hatten wir engen Kontakt zu den Administratoren der einzelnen Bereiche die hatten das auch auf einigen Servern zur synchronisation der Zeiterfassung laufen, trotz Router etc. Kann mir das daher nicht so richtig vorstellen.

MfG Simon
aqui
aqui 09.01.2010 um 22:32:59 Uhr
Goto Top
Der Service auf dem Server kann die IP nicht zum DynDNS schicken bzw. wenn er das machen würde würde er ja eine falsche IP Adresse schicken, denn er schickt eine RFC 1918 IP Adresse also eine aus einem privaten_Netz da du ja wie du selber sagst hinter einem NAT Router sitzt und du lokal vermutlich diese IP Adressen nutzt.
Deshalb sollte dir auch spätestens jetzt die Sinnlosigkeit bzw. Fehlerhaftigkeit dieses Verfahrens klar sein, da sich diese IP nie ändert (denn bei einem Server ist sie logischerweise statisch) und der DynDNS Client somit nie oder sehr selten eine IP an den Dienst schickt.
Deshalb gehört der Client auf den Router wo diese IPs auch nach jeder Zwangstrennung korrekt reportet werden.
Wenn das nicht geschieht dann ist das ein Frmware Bug der in der Regel aber sofort mit einem korrekten und aktuellen FW Update behoben ist. DynDNS hat letztens seine Server IPs umgestellt, deshalb ist so ein Update schon wichtig, das sollte dann auch deine Problem sofort lösen.
Zum Thema Sicherheit des Clients ist es sicher nicht dramatisch sollte dir aber zumindestens Bauchschmerzen bereiten. Der Client hält eine Verbindung vom Server zum DynDNS Dienst. Damit ist in der NAT Translation Tabelle des Routers permanent ein Eintrag vorhanden der mit diesem Zielport direkt auf den Server zeigt. Jemand mit Fachkenntnissen kann sich zumindest mit diesem Port Zugang zum Server verschaffen. Im medizinischen Bereich ist sowas aus Datenschutzgründen ein absolutes no go was ein gelernter Systemadministrator ja auch weiss, denn sonst stehen eines Tages schnell mal die Dalton Brüder am Server !!!
Generell ist sowas eine Frickelei und unprofessionell. Kundige ITler investieren 10 Euro mehr in einen VPN Router wie z.B. Draytek und andere die selber VPNs terminieren und so einen sicheren Zugang zu einem Zielnetz gewähren ohne Löcher in die NAT FWs bohren zu müssen oder Frickleien mit DynDNS Clients im internen Netz wie in deinem o.a. Konzept !
Pjordorf
Pjordorf 10.01.2010 um 00:46:48 Uhr
Goto Top
Hallo Simon,

Ich habe ach heute diese ganze Kiste mit dem FTP übern Jordan geworfen und eine VPN eingerichtet , wobei ich ganz
klar sagen muss es handelt sich um zwei unterschiedliche Domänen.
Und, das stört doch nicht.

Die Verbindung steht zwar und ich kann auh die Datei
mittels Netzlaufwerk übertragen, ich bin mir aber nicht sicher wie das wird wenn nach 24 Std. die Verbindung unterbrochen
wird. Dann wird doch bestimmt auch der Upload unterbrochen oder ?
Klar wird der unterbrochen. Aber dein VPN baut sich ja hoffentlich wieder Automatisch auf (VPN über Hardware gelöst?) und dann ist doch die IP für den Upload wieder verfügbar. Da du den Timeout ja schon bei Filezilla hochgesetzt hast sollte das doch dann weiter gehen.

Aber dir ist schon klar, das dein Konzept einer Datensicherung wo du für das Upload alleine 14 Stunden benötigst nicht gerade klug gewählt ist.

Peter
JollyJumper83
JollyJumper83 10.01.2010 um 01:47:01 Uhr
Goto Top
Ok erstmal danke für alle Antworten.
Wie schon anfänglich beschrieben das was ich derzeit mache ist eine "einfache kleine" und vorallem schnelle Lösung für meine auszulagernde DS. Sie ist zwar nicht perfekt und entspricht wahrscheinlich auch nicht den Sicherheitsstandards aber Sie funktioniert erstmal wunderbar.

Allerdings bin ich jetztgerade neugierig geworden. Aufgrund der VPN sind mir nun doch mehrere Ideen gekommen, das Ganze doch etwas auszuarbeiten. Ich will diesen Thread allerdings nicht zuweit ausdehen, aber eine Frage hätte ich da noch.

Ich habe jetzt eine softwaretechnische VPN aufgebaut die via batch Datei automatische verbunden wird. Müsste ich nicht nachdem die Verbindung besteht, die andere Domäne in meiner Netzwerkstruktur sehen. Ich habe die beiden Domänen natürlich getrusted. Das hat auch super geklappt aber ich finde sie nicht in meiner Netzwerkumgebung. Gebe ich den Server direkt ein //Server/, finde ich ihn ohne probleme. Ich habe irgendwie die Vermutung das es an der DNS-Einstellung liegt. Muss ich da irgendwas eingeben bei der VPN??

Danke im vorraus und ein gutes Nächtle face-smile