jhinrichs
Goto Top

Einzelne (nicht signierte?) Programme auf W2K16-RDS-Host bekommen keine DNS-Auflösung

Moin,

wir haben unsere Infrastruktur aktualisiert auf:
- Domänencontroller und primärer DNS-Server auf W2016
- Exchange 2016 auf W2012R2
- Fileserver auf W2012R2
- RDS-Host auf W2016.
Alles funktioniert einwandfrei, bis auf:

Einige Programme (mein Verdacht ist, die, die nicht als "vertrauenswürdig" eingestuft sind, namentlich putty) erhalten offenbar keine DNS-Auflösung ("Host does not exist"). Bei Eingabe der IP-Adresse bekomme ich aber eine Verbindung mit putty, auch zu Nicht-Domänenmitgliedern. Ein nslookup auf der Kommandozeile löst alle Namen korrekt auf, ipconfig /all liefert die richtigen Einstellungen für IP-Adresse, Gateway und DNS-Server. Internet Explorer, Outlook und andere Anwendungen funktionieren problemlos.
Führe ich putty auf dem DC aus, gibt es kein Problem.
Im Ereignisprotokoll findet sich auch nichts Spezifisches.
Ich habe probeweise sowohl einen externen DNS-Server eingetragen als auch auf dem RDS-Host die DNS-Rolle installiert und diesen als primären DNS eingetragen, beide konnten über nslookup alle Namen auflösen. Bei putty aber das gleiche Phänomen.

Gibt es eine Sicherheitsrichtlinie, die den DNS-Zugriff von nicht signierten Anwendungen einschränkt?

Danke und Grüße

Jürgen

Content-Key: 331320

Url: https://administrator.de/contentid/331320

Printed on: June 16, 2024 at 07:06 o'clock

Member: Pjordorf
Pjordorf Mar 06, 2017 at 12:10:40 (UTC)
Goto Top
Hallo,

Zitat von @jhinrichs:
Einige Programme (mein Verdacht ist, die, die nicht als "vertrauenswürdig" eingestuft sind, namentlich putty) erhalten offenbar keine DNS-Auflösung ("Host does not exist"). Bei Eingabe der IP-Adresse bekomme ich aber eine Verbindung mit putty, auch zu Nicht-Domänenmitgliedern. Ein nslookup auf der Kommandozeile löst alle Namen korrekt auf, ipconfig /all liefert die richtigen
NSLookup und z.B. dein Putty sprechen wohl anders mit dein DNS. Wie ist dein DNS eingerichtet bzw. was alles oder wer alles darf dort was. Schmeiß mal dein Wireshark an und schau dort was dein Putty anfragt oder eben nicht bzw. was die Antwort von dein DNS ist.
http://www.tomshardware.co.uk/faq/id-1943898/configure-windows-server-2 ...
http://techgenix.com/windows-server-2012-dns-part1/
https://technet.microsoft.com/de-de/library/cc753579%28v=ws.11%29.aspx
https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/w ...
https://blogs.technet.microsoft.com/teamdhcp/2015/11/23/network-forensic ...

Gruß,
Peter
Member: jhinrichs
jhinrichs Mar 06, 2017 at 12:17:13 (UTC)
Goto Top
Hallo Peter,

danke erstmal. Den Wireshark schmeiße ich heute Abend mal an. Seltsamerweise funktioniert putty ja auf allen anderen Servern und Clients im Netz. Daher denke ich nicht, dass es eine der neuen DNS-Policies des DNS-Servers ist, die ich zunächst im Verdacht hatte.

LG

Jürgen
Member: jhinrichs
jhinrichs Mar 06, 2017 at 13:03:46 (UTC)
Goto Top
Jetzt doch einmal den Wireshark angeworfen:

putty erzeugt überhaupt keinen DNS-Verkehr bei Eingabe eines Hostnamens. Scheint also schon auf dem RDS-Host vorher blockiert zu werden.

LG
Member: Dani
Dani Mar 06, 2017 at 20:18:30 (UTC)
Goto Top
Moin Jürgen,
ich seh kein Problem bei Putty. Ich habe die Anwendung gerade auf einen RDS-Host gelegt und von dort eine Verbindung mit dem FQDN problemlos aufbauen können.

Handelt es sich bei dir um eine Standardinstallation oder sind schon diverse Parameter/Konfigurationen angepasst worden?!
Hast du vllt. etwas an der Dateiausführungsverhinderung geändert?


Gruß,
Dani
Member: jhinrichs
jhinrichs Mar 07, 2017 at 10:51:01 (UTC)
Goto Top
Moin,

auch auf einem 2016? Ich habe in einem TechNet-Beitrag (den ich jetzt blöderweise nicht mehr wiederfinde) von einem Problem gelesen, das sich ähnlich anhört: nach Installation der SessionHost-Rolle bekam eine SQL-Anwendung keine Verbindung mehr zum Datenbankserver. Putty wäre mir relativ egal, das läuft problemlos auf dem DC (auch 2016) und den anderen Rechnern. Primär geht es um eine andere Anwendung, die nach probeweiser Installation auf dem DC Hostnamen auflösen kann, auf dem RDS aber nicht. Auch hier protokolliert Wireshark keinerlei DNS-Verkehr, auch keine vergeblichen Verbindungsversuche.

An der Firewall liegt es auch nicht. Keine Änderung nach Abschalten.


Der RDS war frisch installiert, lediglich noch Office 365 ProPlus dazu (das keine Probleme mit der Konnektivität hat). Alles andere out of the Box.

Bin etwas ratlos....

LG

Jürgen
Member: jhinrichs
jhinrichs Mar 14, 2017 at 08:30:51 (UTC)
Goto Top
Moin,

nach dem Einspielen der letzten Windows-Updates funktioniert alles. Warum, bleibt unklar....

LG