cscholz
Goto Top

nslookup gibt "falsche" IP Adresse zurück

Habe eine Domäne intra.xyz.de eingerichtet (Intranet). Die Domäne xyz.de gibt es im Internet auch.
Habe folgende DNS Abfrage Reihenfolge für den Domänencontroller konfiguriert:
1. IP von vom DC von intra.xyz.de
2. 217.237.151.225
3. 217.237.150.225

Desweiteren habe ich im DNS eine Weiterleitung an die 2. & 3. IP.

Wenn ich jetzt aber ein nslookup mache (egal welche Adresse im Internet) bekomme ich immer als IP Adresse die IP der Domäne xyz.de zurück. Ein ping geht aber an die richtige IP.
Wenn ich den Domänencontroller pinge, bekomme ich eine Antwort von xyz.de.

Habe jetzt den DNS-Suffix am DC von intra.xyz.de auf intra abgeändert und dann ging es. Das ist jetzt aber leider nicht sinn der Sache.
Wo liegt der Fehler in der DNS Konfiguration?

Content-Key: 26947

Url: https://administrator.de/contentid/26947

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: meinereiner
meinereiner 27.02.2006, aktualisiert am 17.10.2012 um 16:42:15 Uhr
Goto Top
In Kurzform:
Alle Einträge für DNS verweisen auf den internen DNS Server
Auf dem interen DNS eine Weiterleitung auf den externen machen
Für die Server im Internet erstell händisch einen Eintrag auf deinem internen DNS

auführlicher unter:
DNS-Server für Active Directory unter Win2k oder Win2k3 einrichten
Mitglied: cscholz
cscholz 27.02.2006 um 15:39:57 Uhr
Goto Top
An den Clients ist folgende IP Konfiguration:
- 1. DS
- 2. 217.237.151.225
- 3. 217.237.150.225

ein nslookup mit DNS-Serverangabe liefert aber auch ein falsches Ergebniss:
nslookup web.de 217.237.151.225

Die Weiterletiung vom internen auf den externen habe ich eingerichtet.

Der DC ist übrigens w2k3
Mitglied: meinereiner
meinereiner 27.02.2006 um 20:13:31 Uhr
Goto Top
An den Clients ist folgende IP
Konfiguration:
- 1. DS
- 2. 217.237.151.225
- 3. 217.237.150.225

Nimm die 217.237.151.225 bei den Clients raus, auch bei dem DC wenn es dort eingetragen ist. Da gehört nur die IP vom DC rein.

danach mach mal auf einem client:

ipconfig /flushdns


danach nslookup
Da gib ein
a) den Domänennamen
b) den Namen des DC
c)web.de

Was kommt da geweils raus?
Mitglied: cscholz
cscholz 28.02.2006 um 08:10:55 Uhr
Goto Top
die IP der Domäne xyz.de
Ich verstehe das nicht.
Mitglied: wscholz
wscholz 05.03.2006 um 09:47:24 Uhr
Goto Top
sei so gut und poste mal folgende info:

vom dc den output des kommandos "netdiag" (ist bei den support tools dabei)
von den clients den output von "ipconfig /all"
Mitglied: cscholz
cscholz 05.03.2006 um 10:38:51 Uhr
Goto Top
Vorweg einmal vielen Dank für die Bemühungen.
Ich verstehe das Problem leider nicht. Hier die Daten.

Netdiag:

Computer Name: MDC
DNS Host Name: mdc.intra.[Domäne].de
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 6 Model 4 Stepping 2, AuthenticAMD
List of installed hotfixes :
KB890046
KB893756
KB896358
KB896422
KB896424
KB896428
KB896688
KB898715
KB899587
KB899588
KB899589
KB899591
KB900725
KB901017
KB901214
KB902400
KB904706
KB905414
KB905915
KB908519
KB908521
KB910437
KB911927
KB912919
KB913446
Q147222

Netcard queries test . . . . . . . : Passed
GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets.
[WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets.
[WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets.
GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]

Per interface results:

Adapter : LAN-Verbindung

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : mdc
IP Address . . . . . . . . : 192.168.0.21
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.1
Dns Servers. . . . . . . . : 192.168.0.21

AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Passed
NetBT name test. . . . . . : Passed
No remote names have been found.
WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{B7036309-F4CE-45A9-B99C-981D7190FCB3}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.0.21'.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{B7036309-F4CE-45A9-B99C-981D7190FCB3}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{B7036309-F4CE-45A9-B99C-981D7190FCB3}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Failed
Failed to enumerate DCs by using the browser. [ERROR_BAD_NETPATH]

Trust relationship test. . . . . . : Skipped
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully


ipconfig /all:
Windows IP Configuration

Host Name . . . . . . . . . . . . : masterbrain
Primary Dns Suffix . . . . . . . : intra.[Domäne].de
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : intra.[Domäne].de
intra.[Domäne].de

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . : intra.[Domäne].de
Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC
Physical Address. . . . . . . . . : 00-02-44-20-20-88
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.0.61
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DHCP Server . . . . . . . . . . . : 192.168.0.21
DNS Servers . . . . . . . . . . . : 192.168.0.21
Lease Obtained. . . . . . . . . . : Sonntag, 5. März 2006 10:29:34
Lease Expires . . . . . . . . . . : Montag, 13. März 2006 10:29:34


nslookup auf google.de:
C:\>nslookup google.de
Server: mdc.intra.[Domäne].de
Address: 192.168.0.21

Non-authoritative answer:
Name: google.de.[Domäne].de
Address: 217.172.188.x (google hat aber die 216.239.39.104)
Mitglied: wscholz
wscholz 05.03.2006 um 10:57:30 Uhr
Goto Top
hm,

netzwerkmäßig schaut die dns konfig imho gut aus. ich vermute da ist was im dns selber nicht ok. was sagt dir denn das kommando "dnscmd /Info" und "dnscmd /EnumZones" ?
Mitglied: cscholz
cscholz 05.03.2006 um 11:03:19 Uhr
Goto Top
Eigentlich nichts auffälliges.

C:\>dnscmd /Info
Query result:
Server info
server name = mdc.intra.[Domäne].de
version = 0ECE0205 (5.2 build 3790)
DS container = cn=MicrosoftDNS,cn=System,DC=intra,DC=[Domäne],DC=de
forest name = intra.[Domäne].de
domain name = intra.[Domäne].de
builtin domain partition = ForestDnsZones.intra.[Domäne].de
builtin forest partition = DomainDnsZones.intra.[Domäne].de
last scavenge cycle = not since restart (0)
Configuration:
dwLogLevel = 00000000
dwDebugLevel = 00000000
dwRpcProtocol = FFFFFFFF
dwNameCheckFlag = 00000002
cAddressAnswerLimit = 0
dwRecursionRetry = 3
dwRecursionTimeout = 15
dwDsPollingInterval = 180
Configuration Flags:
fBootMethod = 3
fAdminConfigured = 1
fAllowUpdate = 1
fDsAvailable = 1
fAutoReverseZones = 1
fAutoCacheUpdate = 0
fSlave = 1
fNoRecursion = 0
fRoundRobin = 1
fStrictFileParsing = 0
fLooseWildcarding = 0
fBindSecondaries = 1
fWriteAuthorityNs = 0
fLocalNetPriority = 1
Aging Configuration:
ScavengingInterval = 168
DefaultAgingState = 0
DefaultRefreshInterval = 168
DefaultNoRefreshInterval = 168
ServerAddresses:
Addr Count = 1
Addr => 192.168.0.21
ListenAddresses:
Addr Count = 1
Addr => 192.168.0.21
Forwarders:
Addr Count = 2
Addr => 217.237.151.225
Addr[1] => 217.237.150.225
forward timeout = 5
slave = 1
Command completed successfully.

C:\>dnscmd /EnumZones
Enumerated zone list:

Zone count = 4

Zone name Type Storage Properties

. Cache AD-Domain
_msdcs.intra.[Domäne].de Primary AD-Forest Secure
0.168.192.in-addr.arpa Primary AD-Legacy Secure Rev
intra.[Domäne].de Primary AD-Domain Secure

Command completed successfully.
Mitglied: wscholz
wscholz 05.03.2006 um 12:10:22 Uhr
Goto Top
also was passiert versteh ich schon, ich versteh aber noch nicht warum.
funktioniert denn der nslookup auf google.de von der workstation und vom server aus nicht ?

du hast ein problem das dir der dns suffix [Domäne.de] immer an die queries angehängt wird. deswegen erhältst du auch die antwort für google.de.[Domäne].de und nicht für google.de

Non-authoritative answer:
Name: google.de.[Domäne].de
Address: 217.172.188.x (google hat aber die 216.239.39.104)

du kannst auf dem server auch mal das debugging log einschalten und schauen was der dns server aus einer anfrage vom client macht.

und schau mal ob in den tcp/ip einstellungen in der registerkarte dns die option "Append parent suffixes of the primary DNS suffix" angeklickt ist. falls ja dann nimm das mal raus
Mitglied: cscholz
cscholz 05.03.2006 um 13:42:23 Uhr
Goto Top
Es scheint meiner Meinung nach irgendwie am Suffix zu liegen.
Er hängt ja intra.[Domäne].de immer an die Anfrage dran. Und bekommt dann eine falsche IP.
Wenn ich aber den Suffix des MDC auf intra ändere, bekomme ich die richtige IP.
Wenn der Suffix des MDC aber auf mdc.intra.[Domäne].de steht, ich dem Client aber nur intra als Suffix vorgebe kommt ebenfalls eine falsche IP zurück.

Hier mal der Log der DNS Abfrage:

20060305 13:31:04 578 PACKET UDP Rcv 192.168.0.61 0001 Q [0001 D NOERROR] (2)21(1)0(3)168(3)192(7)in-addr(4)arpa(0)

20060305 13:31:04 578 PACKET UDP Snd 192.168.0.61 0001 R Q [8085 A DR NOERROR] (2)21(1)0(3)168(3)192(7)in-addr(4)arpa(0)

20060305 13:31:04 578 PACKET UDP Rcv 192.168.0.61 0002 Q [0001 D NOERROR] (3)web(2)de(5)intra(10)[Domäne](2)de(0)

20060305 13:31:04 578 PACKET UDP Snd 192.168.0.61 0002 R Q [8385 A DR NXDOMAIN] (3)web(2)de(5)intra(10)[Domäne](2)de(0)

20060305 13:31:04 578 PACKET UDP Rcv 192.168.0.61 0003 Q [0001 D NOERROR] (3)web(2)de(10)[Domäne](2)de(0)

20060305 13:31:04 578 PACKET UDP Snd 217.237.151.225 20a4 Q [0001 D NOERROR] (3)web(2)de(10)[Domäne](2)de(0)

20060305 13:31:04 578 PACKET UDP Rcv 217.237.151.225 20a4 R Q [8081 DR NOERROR] (3)web(2)de(10)[Domäne](2)de(0)

Das Problem ist doch, dass der MDC den Suffix auch an die Anfrage für extern anhängt . . . oder sehe ich das falsch.

Kann man den Suffix anhang für extern deaktivieren?
Mitglied: cscholz
cscholz 05.03.2006 um 13:52:25 Uhr
Goto Top
Es funktioniert, wenn ich intra.[Domäne].de nicht unter "DNS-Suffix für diese Verbindung" sondern unter "Diesen DNS-Suffix anhängen (in Reihenfolge)" eintrage.

Das heißt aber ich müsste jeden Client manuell abändern, da der Suffix per DHCP nur für die Verbindung eingetragen wird.

Wieso macht dieser Eintrage einen so graviernden Unterschied?
Mitglied: wscholz
wscholz 05.03.2006 um 15:47:42 Uhr
Goto Top
wie sieht denn die registerkarte dns aus der tcp-ip config von mdc aus ?
Mitglied: cscholz
cscholz 05.03.2006 um 15:59:40 Uhr
Goto Top
DNS:
DNS-Server: 192.168.0.21
Append these DNS suffixes (in order): intra.[Domäne].de

sonst ist nichts aktiviert.

Wins:
Enable LMHOST lookup ist disabled
Enable NetBios over TCP/IP ist enabled
Mitglied: wscholz
wscholz 05.03.2006 um 17:28:07 Uhr
Goto Top
also man kann den dns suffix für externe anfragen nicht unterdrücken.
im log file sieht man das der client diese unerwünschte anfrage stellt:

20060305 13:31:04 578 PACKET UDP Rcv 192.168.0.61 0003 Q [0001 D NOERROR] (3)web(2)de(10)[Domäne](2)de(0)

der dns server von [domäne].de beantwortet die auch dann brav. so wie ich es verstande habe hast du aber den dns von [domäne].de aber nicht unter kontrolle bzw der ist nicht teil des ad.

ist auf dem client folgende option aktiv ? in den tcp/ip einstellungen in der registerkarte dns die option "Append parent suffixes of the primary DNS suffix"

die geschichte mit den dns suffixes ist hier ganz gut erklärt:

http://mcpmag.com/columns/article.asp?editorialsid=1109#post
Mitglied: cscholz
cscholz 05.03.2006 um 21:26:32 Uhr
Goto Top
Die Option ist nicht aktiviert. Weder auf dem Server noch auf dem Client.
Mitglied: wscholz
wscholz 06.03.2006 um 13:42:31 Uhr
Goto Top
ich hab jetzt mal versucht das ganze bei mir nachzustellen. mir ist es nicht gelungen so einen fehler zu provozieren. so wie es bei dir aussieht reagiert meiner meinung nach dein forwarder etwas seltsam.

hier stellt der mcp deinem forwarder 217.237.151.225 die frage nach web.de.[domäne].de

20060305 13:31:04 578 PACKET UDP Snd 217.237.151.225 20a4 Q [0001 D NOERROR] (3)web(2)de(10)[Domäne](2)de(0)

dann bekommt er vom forwarder eine gültige antwort [8081 DR NOERROR]

20060305 13:31:04 578 PACKET UDP Rcv 217.237.151.225 20a4 R Q [8081 DR NOERROR] (3)web(2)de(10)[Domäne](2)de(0)


bei mir sieht das ganze etwas anders aus:

ich habe bei einem client (172.18.200.100 ) mal so getan als ob er in einer domäne local.microsoft.com lebt. der dns server hat local eine zone local.microsoft.com konfiguriert.

hier frägt mein client nach google.de.local.microsoft.com

1. ) 20060306 13:22:41 EAC PACKET UDP Rcv 172.18.200.100 0002 Q [0001 D NOERROR] (6)google(2)de(5)local(9)microsoft(3)com(0)

er kriegt vom meinem dns eine negative antwort [8385 A DR NXDOMAIN]

2. ) 20060306 13:22:41 EAC PACKET UDP Snd 172.18.200.100 0002 R Q [8385 A DR NXDOMAIN] (6)google(2)de(5)local(9)microsoft(3)com(0)


hier stellt mein client dann die frage nach google.de.microsoft.com

3. ) 20060306 13:22:41 EAC PACKET UDP Rcv 172.18.200.100 0003 Q [0001 D NOERROR] (6)google(2)de(9)microsoft(3)com(0)

der dns server frägt den forwarder 172.18.30.111

4. ) 20060306 13:22:41 EAC PACKET UDP Snd 172.18.30.111 20f6 Q [0001 D NOERROR] (6)google(2)de(9)microsoft(3)com(0)

und kriegt vom forwarder eine negative antwort [8381 DR NXDOMAIN]

5.) 20060306 13:22:41 EAC PACKET UDP Rcv 172.18.30.111 20f6 R Q [8381 DR NXDOMAIN] (6)google(2)de(9)microsoft(3)com(0)

die gibt er an den client weiter

6.) 20060306 13:22:41 EAC PACKET UDP Snd 172.18.200.100 0003 R Q [8381 DR NXDOMAIN] (6)google(2)de(9)microsoft(3)com(0)

und der frägt dann nach google.de

7.) 20060306 13:22:41 EAC PACKET UDP Rcv 172.18.200.100 0004 Q [0001 D NOERROR] (6)google(2)de(0)

die frage geht wieder zum forwarder

8.) 20060306 13:22:41 EAC PACKET UDP Snd 172.18.30.111 38fc Q [0001 D NOERROR] (6)google(2)de(0)

diesmal gibt es eine positive antwort [8081 DR NOERROR]

9.) 20060306 13:22:41 EAC PACKET UDP Rcv 172.18.30.111 38fc R Q [8081 DR NOERROR] (6)google(2)de(0)

und die wird an den client übertragen

10.) 20060306 13:22:41 EAC PACKET UDP Snd 172.18.200.100 0004 R Q [8081 DR NOERROR] (6)google(2)de(0)

die grosse frage ist nun warum dein forwarder an der position 5 eine positive antwort gibt. da würde ich mal den betreiber des dns fragen.
Mitglied: cscholz
cscholz 04.04.2006 um 19:09:08 Uhr
Goto Top
Also, ich habe den Server neu installieren müssen (Plattenkapazität)

DNS usw. alles eingerichtet. Jetzt funktioniert alles sauber.
Es scheint wohl irgendwas im AD oder DNS nicht korrekt gewesen zu sein.

Habe trotz der super Unterstützung von Herrn Wolfgang Scholz keine Lösung gefunden um das Problem ohne Neuinstallation zu beben.