dtctve
Goto Top

Keine lokale DNS-Auflösung über DC ohne Internetverbindung

Hallo zusammen,

ich habe hier ein Problem, was ich mir selbst mittlerweile nicht mehr erklären kann.

Kurz zum Ist-Stand:
AD1 und AD2, jeweils mit DNS-Dienst. (Primary und Secondary DC)
GW1 (Firewall mit mehreren öffentlichen IP's) spielt DHCP
GW2 (Hitron Modem des Providers mit öffentlicher IP)

Domäne xyzgmbh.de
Lokale A-Records in den DNS-Servern


Nun zum Problem:
Wir hatten jetzt gestern einen längeren Internetausfall, da der Provider einen Umzug in Auftrag gegeben hat, nur um unsere Adresse zu korrigieren... (danke vodafone!)

Dabei ist aufgefallen, dass leider auch interne Dienste (z.B. wie im Screenshot "idoit.xyzgmbh.de" per DNS nicht aufrufbar waren, obwohl diese den internen DNS-Servern per A-Record bekannt sind.


Ich habe sämtliche Konfiguration geprüft, und bin gerade ratlos.

Habt ihr eine Idee oder einen Tipp für mich?
royalts_izu4plpuxg
royalts_qtqvwfrfmo

Content-ID: 666509

Url: https://administrator.de/forum/keine-lokale-dns-aufloesung-ueber-dc-ohne-internetverbindung-666509.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

emeriks
emeriks 07.05.2021 aktualisiert um 11:47:52 Uhr
Goto Top
Hi,
was heißt "per DNS nicht aufrufbar waren" ?

Kann der betreffende DNS-Client den FQDN "idoit.xyzgmbh.de" in eine IP-Adresse auflösen? Ja oder nein?
Und wenn ja: Ist es die richtige IP-Adresse?

E.

Und da werden auch keine Schreibfehler gemacht?
z.B.
"xyzgmbh" --- "tgmbh"
"idoit" --- "idiot"
DTCTVE
DTCTVE 07.05.2021 aktualisiert um 11:59:28 Uhr
Goto Top
was heißt "per DNS nicht aufrufbar waren" ?

Die Webseite konnte nicht mehr genutzt werden.

Kann der betreffende DNS-Client den FQDN "idoit.xyzgmbh.de" in eine IP-Adresse auflösen? Ja oder nein?
Und wenn ja: Ist es die richtige IP-Adresse?

Nein. Eine Auflösung war zu dem Zeitpunkt nicht mehr möglich. (Geprüft per nslookup)


Und da werden auch keine Schreibfehler gemacht?

Ich hatte das anonymisiert, und daher aliase verwendet. Gut, hat nich so komplett geklappt face-smile

idoit ist korrekt, das ist die Inventarisierungssoftware.

PS: Jetzt, wo das Internet läuft (und ich es nicht testweise abstellen kann) liefert nslookup das hier, was korrekt ist:
cmd_m1yg4v5mp9
117471
117471 07.05.2021 um 12:47:18 Uhr
Goto Top
Hallo,

Zitat von @DTCTVE:

Dabei ist aufgefallen, dass leider auch interne Dienste (z.B. wie im Screenshot "idoit.xyzgmbh.de" per DNS nicht aufrufbar waren, obwohl diese den internen DNS-Servern per A-Record bekannt sind.

Microsoft möchte halt wissen, was Ihr macht. Wenn Ihr mangels Internet keine Daten liefert, gibt 's auch kein DNS, Basta! face-smile

Ernsthaft: Ich persönlich neige grundsätzlich dazu, den lokalen Router als DNS im AD einzutragen. Wäre das in dem Fall keine Option?

Im Übrigen entspricht das Verhalten genau dem Hinweistext: Die Weiterleitungen sind nicht verfügbar (da kein Internet), also werden die Rootserver befragt. Und da diese ebenfalls nicht verfügbar sind, gibt 's auch keine Antwort.

Insofern könnte man auch noch mal ausprobieren, ob man das umgehen kann, indem man für die entsprechende Domain eine bedingte Weiterleitung einträgt. Die dann halt auf die DC zeigt.

Gruß,
Jörg
emeriks
emeriks 07.05.2021 um 12:57:17 Uhr
Goto Top
@117471
Das von Dir Genannte halte ich nicht für wahrscheinlich. Wenn die Anfrage für "idoit.xyzgmbh.de" beim internen DNS-Server ankommt, und er selbst stellt eine Zone mit dieser Domäne bereit, dann wird er keinen anderen DNS-Server fragen. Entweder kennt er diesen Record oder nicht. Wenn nicht, dann gibt er eine negative Antwort.

@dkoerner
Nein. Eine Auflösung war zu dem Zeitpunkt nicht mehr möglich. (Geprüft per nslookup)
Wir sieht denn die Ausgabe von nslookup aus, wenn das Internet nicht verfügbar ist? Verfügbar für wen überhaupt? Für den DNS-Server oder für den DNS-Client?
117471
117471 07.05.2021 um 13:06:27 Uhr
Goto Top
Hallo,

Zitat von @emeriks:

Das von Dir Genannte halte ich nicht für wahrscheinlich.

Sagen wir mal so - ich würde nicht für klug halten. Aber es wird nun mal genau so in dem Hinweistext beschrieben. Ob der Hinweis jetzt richtig oder falsch ist, kann ich leider nicht beurteilen.

Abgesehen davon, dass m.Ea. nichts dagegen spricht, den DNS vom Router in den DC zu klötern.

Gruß,
Jörg
lcer00
lcer00 07.05.2021 um 13:44:04 Uhr
Goto Top
Hallo,
Zitat von @DTCTVE:

Kann der betreffende DNS-Client den FQDN "idoit.xyzgmbh.de" in eine IP-Adresse auflösen? Ja oder nein?
Und wenn ja: Ist es die richtige IP-Adresse?

Nein. Eine Auflösung war zu dem Zeitpunkt nicht mehr möglich. (Geprüft per nslookup)

Also wenn der Client beim Test mit nslookup die Adresse nicht auflösen konnte, gibt es nicht so viele Erklärungen. Eigentlich bleibt nur:
  • der Client hat nicht Euren DC am Standort abgefragt
  • der Server ist schlicht falsch konfiguriert.

beides würde ich prüfen.

zum testen kann man bei NS-Lookup schön die Server umschalten:
PS C:\>nslookup
Standardserver:  DC1.domäne.de

> www.google.de
Server:  DC1.domäne.de
Address:  192.168.200.10

Nicht autorisierende Antwort:
Name:    www.google.de
Addresses:  2a00:1450:4001:82b::2003
          172.217.18.99

> server 192.168.1.12
Standardserver:  DC2.domäne.de
Address:  192.168.1.12

> www.google.de
Server:  DC2.domäne.de
Address:  192.168.1.12

Nicht autorisierende Antwort:
Name:    www.google.de
Addresses:  2a00:1450:4001:811::2003
          142.250.185.99

>

Betreibt ihr für die Domäne ein Split-DNS?

Grüße

lcer
126231
126231 07.05.2021 um 20:51:34 Uhr
Goto Top
Servus!

Warum schwärzt du deine privaten IP's? Das macht das Thema für uns nicht einfacher - oder sind das ggf. sogar die externen IP'?
Wie sind denn die IP-settings der DNS/ DC Server? Welche DNS Server haben die eingetragen?

Gruß
Luigi
jsysde
jsysde 08.05.2021 um 14:14:08 Uhr
Goto Top
Mahlzeit.

Ich tippe ins Blaue: Ihr habt IPv6 (richtigerweise) nicht deaktiviert, es aber auf Auto-Config gelassen? Und auf den DCs selbst den DNS-Server für das IPv6-Protokoll nicht von ::1 auf DHCP geändert? Dann ist das Verhalten "normal", wenn auch unschön.

Dein nslookup, den du oben gepostet hast, hat übrigens nix mit ner DNS-Anfrage zu tun: Du hast nur den Hostnamen abgefragt, keinen FQDN. Ohne zu wissen, welche DNS-Suffixe bei euch so per DHCP, GPO oder manuell eingerichtet sind, ist das absolut nicht aussagekräftig.

Cheers,
jsysde
DTCTVE
DTCTVE 10.05.2021 aktualisiert um 11:52:08 Uhr
Goto Top
Im Übrigen entspricht das Verhalten genau dem Hinweistext: Die Weiterleitungen sind nicht verfügbar (da kein Internet), also werden die Rootserver befragt. Und da diese ebenfalls nicht verfügbar sind, gibt 's auch keine Antwort.

Ja, so verstehe ich das auch. Allerdings sollten die beiden lokalen DNS Server die lokal vorhandene Domäne weiterhin liefern können.
In der Tat könnte ich hier als dritten Schritt die Firewall als DNS-Server hinterlegen - denn die hat ohnehin die anderen DNS-Server eingetragen.


Warum schwärzt du deine privaten IP's? Das macht das Thema für uns nicht einfacher - oder sind das ggf. sogar die externen IP'?
Wie sind denn die IP-settings der DNS/ DC Server? Welche DNS Server haben die eingetragen?

Datenschutz, einfach nur weil ich angenommen hatte das hier tun zu müssen.
Es handelt sich immer um lokale IP's aus dem gleichen Subnetz.

Ich tippe ins Blaue: Ihr habt IPv6 (richtigerweise) nicht deaktiviert, es aber auf Auto-Config gelassen? Und auf den DCs selbst den DNS-Server für das IPv6-Protokoll nicht von ::1 auf DHCP geändert? Dann ist das Verhalten "normal", wenn auch unschön.

IPv6 ist leider von meinem Vorgänger bei allen Servern und vor allem bei den DC's im Netzwerkadapter deaktiviert. Die übliche alte(veraltete) vorgehensweise...

Dein nslookup, den du oben gepostet hast, hat übrigens nix mit ner DNS-Anfrage zu tun: Du hast nur den Hostnamen abgefragt, keinen FQDN. Ohne zu wissen, welche DNS-Suffixe bei euch so per DHCP, GPO oder manuell eingerichtet sind, ist das absolut nicht aussagekräftig.

Richtig, dennoch wird mir der richtige Host zurückgeliefert, von einem DC. Beim FQDN kommt dasselbe heraus. Der Hostname ist auch eindeutig, den gibt es nicht z.B. in einer Subdomain.
Screenshot war auch eher exemplarisch...

Betreibt ihr für die Domäne ein Split-DNS?

Nein, die Domäne gibt's nicht extern.


Mit fällt gerade noch durch eure Antworten auf:
- DC1 hat als Primary DNS den DC2 eingetragen, dann als Secondary DNS localhost
- DC2 hat als Primary DNS den DC1 eingetragen, dann als Secondary DNS localhost

Das kann doch so keinen Sinn machen?!
lcer00
Lösung lcer00 10.05.2021 um 12:11:42 Uhr
Goto Top
Hallo,
Zitat von @DTCTVE:
Das kann doch so keinen Sinn machen?!
nein, irgendwie macht das alles keinen Sinn. Du solltest das Scenario nochmal nachstellen. Besonders die Sache mit dem "Internetausfall". Vielleicht war auch eines der FirewallGeräte gestört und das DHCP war kaputt (längerer Ausfall - DHCP-Leases abgelaufen ....)? Ich würde so vorgehen:
  • DSL/Glasfaserkabel-wasauchimmer rausziehen.
  • testen, ob DHCP /renew funktioniert
  • testen, ob die DNS-Auflösung funktioniert: Zuerst an den Firewalls, dann DC1, DC2, einem Client.
  • Dann die erste Firewall anschalten und wieder testen
  • Dann die zweite.

Die beiden DCs sind am selben Standort?

Und überprüfe mal, ob nicht ganz blöde Fehler passiert sind:
  • Es sind mehr als 1 DHCP-Server aktiv (welche nicht voneinander wissen)
  • Es sind irgendwelche komischen DNS-Weiterleitungen definiert, die bei Ausfall der Internet-DNS-Server relevant werden. Beispielweise ein Fallback auf nicht-DNSSEC, was dann aber gefordert wird.
  • Irgendwelche Sicherheitsfeatures. Beispielsweise liefert Unbound in der Standartkonfiguration keine IPs aus Privaten Netzbereichen aus. Oder irgend ein IDS/IPS verhindert DNS-Auflösungen, wenn seine Listen nicht aktualisiert sind....

Grüße

lcer
117471
Lösung 117471 10.05.2021 um 12:13:19 Uhr
Goto Top
Hallo,

Zitat von @DTCTVE:

Datenschutz, einfach nur weil ich angenommen hatte das hier tun zu müssen.

*hust*

Du hast die Google-DNS-Server als Weiterleitungsziel eingetragen. Bitte tue uns einen Gefallen und benutze niemals wieder das Wort "Datenschutz", sonst landet der Kaffee in der Tastatur. O.K., das war jetzt ein bisschen fies von mir - mea culpa face-smile

IPv6 ist leider von meinem Vorgänger bei allen Servern und vor allem bei den DC's im Netzwerkadapter deaktiviert.

Hm. Jetzt, wo ich mir das noch einmal durch den Kopf gehen lasse kann IPv6 durchaus eine weitere Fehlerursache sein. Auf der anderen Seite - wenn es kaputtgeschrotet ist, müsste der DC konsequent über IPv4 fragen...

Oder, sagen wir mal so: Wenn du jetzt nicht gerade geschrieben hättest, dass das IPv6 kaputt ist, dann wäre das tatsächlich eine weitere (mögliche) Ursache.

- DC1 hat als Primary DNS den DC2 eingetragen, dann als Secondary DNS localhost
- DC2 hat als Primary DNS den DC1 eingetragen, dann als Secondary DNS localhost

Klingt merkwürdig, ich hätte es auch anders gemacht, aber - siehe z.B. hier: https://www.dell.com/support/kbdoc/de-de/000128457/best-practices-f%c3%b ...

Zitat:

Wenn mehrere DCs als DNS-Server konfiguriert sind, sollten Sie so konfiguriert sein, dass Sie zuerst den anderen und an zweiter Stelle sich selbst für die Auflösung verwenden. Die Liste der DNS-Server jedes DC sollte seine eine eigene Adresse enthalten, aber nicht als ersten Server in der Liste. Wenn ein DC nur sich selbst für die Auflösung verwendet, repliziert er unter Umständen nicht mehr mit anderen DCs. Dies ist offenkundig kein Problem in einer Domäne mit nur einem DC.

Gruß,
Jörg