Keine lokale DNS-Auflösung über DC ohne Internetverbindung

Hallo zusammen,

ich habe hier ein Problem, was ich mir selbst mittlerweile nicht mehr erklären kann.

Kurz zum Ist-Stand:
AD1 und AD2, jeweils mit DNS-Dienst. (Primary und Secondary DC)
GW1 (Firewall mit mehreren öffentlichen IP's) spielt DHCP
GW2 (Hitron Modem des Providers mit öffentlicher IP)

Domäne xyzgmbh.de
Lokale A-Records in den DNS-Servern


Nun zum Problem:
Wir hatten jetzt gestern einen längeren Internetausfall, da der Provider einen Umzug in Auftrag gegeben hat, nur um unsere Adresse zu korrigieren... (danke vodafone!)

Dabei ist aufgefallen, dass leider auch interne Dienste (z.B. wie im Screenshot "idoit.xyzgmbh.de" per DNS nicht aufrufbar waren, obwohl diese den internen DNS-Servern per A-Record bekannt sind.


Ich habe sämtliche Konfiguration geprüft, und bin gerade ratlos.

Habt ihr eine Idee oder einen Tipp für mich?
royalts_izu4plpuxg - Klicke auf das Bild, um es zu vergrößern
royalts_qtqvwfrfmo - Klicke auf das Bild, um es zu vergrößern

Content-Key: 666509

Url: https://administrator.de/contentid/666509

Ausgedruckt am: 17.06.2021 um 19:06 Uhr

Mitglied: emeriks
emeriks aktualisiert am 07.05.2021
Hi,
was heißt "per DNS nicht aufrufbar waren" ?

Kann der betreffende DNS-Client den FQDN "idoit.xyzgmbh.de" in eine IP-Adresse auflösen? Ja oder nein?
Und wenn ja: Ist es die richtige IP-Adresse?

E.

Und da werden auch keine Schreibfehler gemacht?
z.B.
"xyzgmbh" --- "tgmbh"
"idoit" --- "idiot"
Mitglied: dkoerner
dkoerner aktualisiert am 07.05.2021
was heißt "per DNS nicht aufrufbar waren" ?

Die Webseite konnte nicht mehr genutzt werden.

Kann der betreffende DNS-Client den FQDN "idoit.xyzgmbh.de" in eine IP-Adresse auflösen? Ja oder nein?
Und wenn ja: Ist es die richtige IP-Adresse?

Nein. Eine Auflösung war zu dem Zeitpunkt nicht mehr möglich. (Geprüft per nslookup)


Und da werden auch keine Schreibfehler gemacht?

Ich hatte das anonymisiert, und daher aliase verwendet. Gut, hat nich so komplett geklappt :-) face-smile

idoit ist korrekt, das ist die Inventarisierungssoftware.

PS: Jetzt, wo das Internet läuft (und ich es nicht testweise abstellen kann) liefert nslookup das hier, was korrekt ist:
cmd_m1yg4v5mp9 - Klicke auf das Bild, um es zu vergrößern
Mitglied: lcer00
lcer00 am 07.05.2021
Hallo,
Zitat von @dkoerner:

Kann der betreffende DNS-Client den FQDN "idoit.xyzgmbh.de" in eine IP-Adresse auflösen? Ja oder nein?
Und wenn ja: Ist es die richtige IP-Adresse?

Nein. Eine Auflösung war zu dem Zeitpunkt nicht mehr möglich. (Geprüft per nslookup)

Also wenn der Client beim Test mit nslookup die Adresse nicht auflösen konnte, gibt es nicht so viele Erklärungen. Eigentlich bleibt nur:
  • der Client hat nicht Euren DC am Standort abgefragt
  • der Server ist schlicht falsch konfiguriert.

beides würde ich prüfen.

zum testen kann man bei NS-Lookup schön die Server umschalten:

Betreibt ihr für die Domäne ein Split-DNS?

Grüße

lcer
Mitglied: papa-luigi
papa-luigi am 07.05.2021
Servus!

Warum schwärzt du deine privaten IP's? Das macht das Thema für uns nicht einfacher - oder sind das ggf. sogar die externen IP'?
Wie sind denn die IP-settings der DNS/ DC Server? Welche DNS Server haben die eingetragen?

Gruß
Luigi
Mitglied: jsysde
jsysde am 08.05.2021
Mahlzeit.

Ich tippe ins Blaue: Ihr habt IPv6 (richtigerweise) nicht deaktiviert, es aber auf Auto-Config gelassen? Und auf den DCs selbst den DNS-Server für das IPv6-Protokoll nicht von ::1 auf DHCP geändert? Dann ist das Verhalten "normal", wenn auch unschön.

Dein nslookup, den du oben gepostet hast, hat übrigens nix mit ner DNS-Anfrage zu tun: Du hast nur den Hostnamen abgefragt, keinen FQDN. Ohne zu wissen, welche DNS-Suffixe bei euch so per DHCP, GPO oder manuell eingerichtet sind, ist das absolut nicht aussagekräftig.

Cheers,
jsysde
Mitglied: dkoerner
dkoerner aktualisiert am 10.05.2021
Im Übrigen entspricht das Verhalten genau dem Hinweistext: Die Weiterleitungen sind nicht verfügbar (da kein Internet), also werden die Rootserver befragt. Und da diese ebenfalls nicht verfügbar sind, gibt 's auch keine Antwort.

Ja, so verstehe ich das auch. Allerdings sollten die beiden lokalen DNS Server die lokal vorhandene Domäne weiterhin liefern können.
In der Tat könnte ich hier als dritten Schritt die Firewall als DNS-Server hinterlegen - denn die hat ohnehin die anderen DNS-Server eingetragen.


Warum schwärzt du deine privaten IP's? Das macht das Thema für uns nicht einfacher - oder sind das ggf. sogar die externen IP'?
Wie sind denn die IP-settings der DNS/ DC Server? Welche DNS Server haben die eingetragen?

Datenschutz, einfach nur weil ich angenommen hatte das hier tun zu müssen.
Es handelt sich immer um lokale IP's aus dem gleichen Subnetz.

Ich tippe ins Blaue: Ihr habt IPv6 (richtigerweise) nicht deaktiviert, es aber auf Auto-Config gelassen? Und auf den DCs selbst den DNS-Server für das IPv6-Protokoll nicht von ::1 auf DHCP geändert? Dann ist das Verhalten "normal", wenn auch unschön.

IPv6 ist leider von meinem Vorgänger bei allen Servern und vor allem bei den DC's im Netzwerkadapter deaktiviert. Die übliche alte(veraltete) vorgehensweise...

Dein nslookup, den du oben gepostet hast, hat übrigens nix mit ner DNS-Anfrage zu tun: Du hast nur den Hostnamen abgefragt, keinen FQDN. Ohne zu wissen, welche DNS-Suffixe bei euch so per DHCP, GPO oder manuell eingerichtet sind, ist das absolut nicht aussagekräftig.

Richtig, dennoch wird mir der richtige Host zurückgeliefert, von einem DC. Beim FQDN kommt dasselbe heraus. Der Hostname ist auch eindeutig, den gibt es nicht z.B. in einer Subdomain.
Screenshot war auch eher exemplarisch...

Betreibt ihr für die Domäne ein Split-DNS?

Nein, die Domäne gibt's nicht extern.


Mit fällt gerade noch durch eure Antworten auf:
- DC1 hat als Primary DNS den DC2 eingetragen, dann als Secondary DNS localhost
- DC2 hat als Primary DNS den DC1 eingetragen, dann als Secondary DNS localhost

Das kann doch so keinen Sinn machen?!
Mitglied: lcer00
Lösung lcer00 am 10.05.2021
Hallo,
Zitat von @dkoerner:
Das kann doch so keinen Sinn machen?!
nein, irgendwie macht das alles keinen Sinn. Du solltest das Scenario nochmal nachstellen. Besonders die Sache mit dem "Internetausfall". Vielleicht war auch eines der FirewallGeräte gestört und das DHCP war kaputt (längerer Ausfall - DHCP-Leases abgelaufen ....)? Ich würde so vorgehen:
  • DSL/Glasfaserkabel-wasauchimmer rausziehen.
  • testen, ob DHCP /renew funktioniert
  • testen, ob die DNS-Auflösung funktioniert: Zuerst an den Firewalls, dann DC1, DC2, einem Client.
  • Dann die erste Firewall anschalten und wieder testen
  • Dann die zweite.

Die beiden DCs sind am selben Standort?

Und überprüfe mal, ob nicht ganz blöde Fehler passiert sind:
  • Es sind mehr als 1 DHCP-Server aktiv (welche nicht voneinander wissen)
  • Es sind irgendwelche komischen DNS-Weiterleitungen definiert, die bei Ausfall der Internet-DNS-Server relevant werden. Beispielweise ein Fallback auf nicht-DNSSEC, was dann aber gefordert wird.
  • Irgendwelche Sicherheitsfeatures. Beispielsweise liefert Unbound in der Standartkonfiguration keine IPs aus Privaten Netzbereichen aus. Oder irgend ein IDS/IPS verhindert DNS-Auflösungen, wenn seine Listen nicht aktualisiert sind....

Grüße

lcer
Mitglied: 117471
Lösung 117471 am 10.05.2021
Hallo,

Zitat von @dkoerner:

Datenschutz, einfach nur weil ich angenommen hatte das hier tun zu müssen.

*hust*

Du hast die Google-DNS-Server als Weiterleitungsziel eingetragen. Bitte tue uns einen Gefallen und benutze niemals wieder das Wort "Datenschutz", sonst landet der Kaffee in der Tastatur. O.K., das war jetzt ein bisschen fies von mir - mea culpa :-) face-smile

IPv6 ist leider von meinem Vorgänger bei allen Servern und vor allem bei den DC's im Netzwerkadapter deaktiviert.

Hm. Jetzt, wo ich mir das noch einmal durch den Kopf gehen lasse kann IPv6 durchaus eine weitere Fehlerursache sein. Auf der anderen Seite - wenn es kaputtgeschrotet ist, müsste der DC konsequent über IPv4 fragen...

Oder, sagen wir mal so: Wenn du jetzt nicht gerade geschrieben hättest, dass das IPv6 kaputt ist, dann wäre das tatsächlich eine weitere (mögliche) Ursache.

- DC1 hat als Primary DNS den DC2 eingetragen, dann als Secondary DNS localhost
- DC2 hat als Primary DNS den DC1 eingetragen, dann als Secondary DNS localhost

Klingt merkwürdig, ich hätte es auch anders gemacht, aber - siehe z.B. hier: https://www.dell.com/support/kbdoc/de-de/000128457/best-practices-f%c3%b ...

Zitat:

Wenn mehrere DCs als DNS-Server konfiguriert sind, sollten Sie so konfiguriert sein, dass Sie zuerst den anderen und an zweiter Stelle sich selbst für die Auflösung verwenden. Die Liste der DNS-Server jedes DC sollte seine eine eigene Adresse enthalten, aber nicht als ersten Server in der Liste. Wenn ein DC nur sich selbst für die Auflösung verwendet, repliziert er unter Umständen nicht mehr mit anderen DCs. Dies ist offenkundig kein Problem in einer Domäne mit nur einem DC.

Gruß,
Jörg
Mitglied: 117471
117471 am 07.05.2021
Hallo,

Zitat von @dkoerner:

Dabei ist aufgefallen, dass leider auch interne Dienste (z.B. wie im Screenshot "idoit.xyzgmbh.de" per DNS nicht aufrufbar waren, obwohl diese den internen DNS-Servern per A-Record bekannt sind.

Microsoft möchte halt wissen, was Ihr macht. Wenn Ihr mangels Internet keine Daten liefert, gibt 's auch kein DNS, Basta! :-) face-smile

Ernsthaft: Ich persönlich neige grundsätzlich dazu, den lokalen Router als DNS im AD einzutragen. Wäre das in dem Fall keine Option?

Im Übrigen entspricht das Verhalten genau dem Hinweistext: Die Weiterleitungen sind nicht verfügbar (da kein Internet), also werden die Rootserver befragt. Und da diese ebenfalls nicht verfügbar sind, gibt 's auch keine Antwort.

Insofern könnte man auch noch mal ausprobieren, ob man das umgehen kann, indem man für die entsprechende Domain eine bedingte Weiterleitung einträgt. Die dann halt auf die DC zeigt.

Gruß,
Jörg
Mitglied: emeriks
emeriks am 07.05.2021
@117471
Das von Dir Genannte halte ich nicht für wahrscheinlich. Wenn die Anfrage für "idoit.xyzgmbh.de" beim internen DNS-Server ankommt, und er selbst stellt eine Zone mit dieser Domäne bereit, dann wird er keinen anderen DNS-Server fragen. Entweder kennt er diesen Record oder nicht. Wenn nicht, dann gibt er eine negative Antwort.

@dkoerner
Nein. Eine Auflösung war zu dem Zeitpunkt nicht mehr möglich. (Geprüft per nslookup)
Wir sieht denn die Ausgabe von nslookup aus, wenn das Internet nicht verfügbar ist? Verfügbar für wen überhaupt? Für den DNS-Server oder für den DNS-Client?
Mitglied: 117471
117471 am 07.05.2021
Hallo,

Zitat von @emeriks:

Das von Dir Genannte halte ich nicht für wahrscheinlich.

Sagen wir mal so - ich würde nicht für klug halten. Aber es wird nun mal genau so in dem Hinweistext beschrieben. Ob der Hinweis jetzt richtig oder falsch ist, kann ich leider nicht beurteilen.

Abgesehen davon, dass m.Ea. nichts dagegen spricht, den DNS vom Router in den DC zu klötern.

Gruß,
Jörg
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 1 TagInformationAdministrator.de Feedback58 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 1 TagTippWindows 1020 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 12 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...