36
Plötzlich keine Internetverbindung mehr auf manchen Clients - DNS Problem?
Hallo miteinander,
habe in einer Domäne mit einem Server 2008 SBS plötzlich, seit gestern, bei manchen Clients keine Internetverbindung mehr.
Das wird dann auch unten rechts am Netzwerk Icon mit einem gelben Ausrufezeichen dargestellt. Teils lässt sich Outlook 2013 nicht mehr starten bzw. meldet zumindest keine Verbindung zum Exchange Server. Zugriff auf den Server, z.B. auf Freigaben bzw. per Remote Desktop klappt aber problemlos. Per Teamviewer komme ich über Internet auf manche Clients, welche kein Ausrufezeichen im Netzwerk Icon haben, aber auch die können keine Seite im Internet öffnen.
Mir scheint das ein Problem des DNS Servers am SBS zu sein, denn wenn ich am Client eine statische Adresse vergebe und da zusätzlich als alternativen DNS Server z.B. 8.8.8.8 eintrage, klappt das Surfen wieder.
Hilft natürlich nix für den Zugriff auf den Exchange.
Dachte ich starte mal den Best Practice Analyzer, da krieg ich dann die Meldung "Fehler beim Zugriff auf das Internet".
Ähm, aber der Server hat einwandfreien Internetzugriff.
Test mit:
dcdiag /test:dns /v /s:server01 /DnsBasic
hat er bestanden, einzig:
Warning: The AAAA record for this DC was not found
... aber das hängt glaub ich mit IPv6 zusammen.
Wäre für alle Tipps dankbar.
Gruß
habe in einer Domäne mit einem Server 2008 SBS plötzlich, seit gestern, bei manchen Clients keine Internetverbindung mehr.
Das wird dann auch unten rechts am Netzwerk Icon mit einem gelben Ausrufezeichen dargestellt. Teils lässt sich Outlook 2013 nicht mehr starten bzw. meldet zumindest keine Verbindung zum Exchange Server. Zugriff auf den Server, z.B. auf Freigaben bzw. per Remote Desktop klappt aber problemlos. Per Teamviewer komme ich über Internet auf manche Clients, welche kein Ausrufezeichen im Netzwerk Icon haben, aber auch die können keine Seite im Internet öffnen.
Mir scheint das ein Problem des DNS Servers am SBS zu sein, denn wenn ich am Client eine statische Adresse vergebe und da zusätzlich als alternativen DNS Server z.B. 8.8.8.8 eintrage, klappt das Surfen wieder.
Hilft natürlich nix für den Zugriff auf den Exchange.
Dachte ich starte mal den Best Practice Analyzer, da krieg ich dann die Meldung "Fehler beim Zugriff auf das Internet".
Ähm, aber der Server hat einwandfreien Internetzugriff.
Test mit:
dcdiag /test:dns /v /s:server01 /DnsBasic
hat er bestanden, einzig:
Warning: The AAAA record for this DC was not found
... aber das hängt glaub ich mit IPv6 zusammen.
Wäre für alle Tipps dankbar.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 381112
Url: https://administrator.de/contentid/381112
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
36 Kommentare
Neuester Kommentar
Moin,
was sagt auf dem Client (nur die Ethernetverbindung ist interessant)?
Was sagt auf dem Client?
Was sagt auf dem Client?
Liebe Grüße
Erik
was sagt
ipconfig /allWas sagt
nslookup dc.domain.tldWas sagt
nslookup exchangeserver.domain.tldLiebe Grüße
Erik
ipconfig/all
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: netz.local
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-19-99-C8-58-FE
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::5d3d:5531:b892:d1d3%11(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.2.57(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Montag, 23. Juli 2018 15:22:51
Lease läuft ab. . . . . . . . . . : Dienstag, 31. Juli 2018 15:22:51
Standardgateway . . . . . . . . . : 192.168.2.1
DHCP-Server . . . . . . . . . . . : 192.168.2.15
DHCPv6-IAID . . . . . . . . . . . : 234887577
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-95-C2-1F-00-19-99-C8-58-FE
DNS-Server . . . . . . . . . . . : 192.168.2.15
NetBIOS über TCP/IP . . . . . . . : Aktiviert
nslookup server01.netz.local
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.2.15
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.
nslookup exchangeserver.domain.tld
das ist ein SBS 2008 da ist der Exchangeserver mit drauf
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: netz.local
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-19-99-C8-58-FE
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::5d3d:5531:b892:d1d3%11(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.2.57(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Montag, 23. Juli 2018 15:22:51
Lease läuft ab. . . . . . . . . . : Dienstag, 31. Juli 2018 15:22:51
Standardgateway . . . . . . . . . : 192.168.2.1
DHCP-Server . . . . . . . . . . . : 192.168.2.15
DHCPv6-IAID . . . . . . . . . . . : 234887577
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-95-C2-1F-00-19-99-C8-58-FE
DNS-Server . . . . . . . . . . . : 192.168.2.15
NetBIOS über TCP/IP . . . . . . . : Aktiviert
nslookup server01.netz.local
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.2.15
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.
nslookup exchangeserver.domain.tld
das ist ein SBS 2008 da ist der Exchangeserver mit drauf
Ach ja,
das ist jetzt ein Client mit theoretischer Internetverbindung (ohne Ausrufezeichen) auf den ich mit Teamviewer drauf komme (bin nämlich nicht vor Ort).
das ist jetzt ein Client mit theoretischer Internetverbindung (ohne Ausrufezeichen) auf den ich mit Teamviewer drauf komme (bin nämlich nicht vor Ort).
und was sagt:
ping 8.8.8.8
und
tracert 8.8.8.8
??
ebenso: kannst du deinen DNS "192.168.2.15" anpingen?
ping 8.8.8.8
und
tracert 8.8.8.8
??
ebenso: kannst du deinen DNS "192.168.2.15" anpingen?
ping 8.8.8.8
Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:
Antwort von 8.8.8.8: Bytes=32 Zeit=10ms TTL=122
Antwort von 8.8.8.8: Bytes=32 Zeit=11ms TTL=122
Antwort von 8.8.8.8: Bytes=32 Zeit=11ms TTL=122
Antwort von 8.8.8.8: Bytes=32 Zeit=10ms TTL=122
Ping-Statistik für 8.8.8.8:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 10ms, Maximum = 11ms, Mittelwert = 10ms
tracert 8.8.8.8 also das hat richtig lang gedauert, ca.2 Minuten !!!
Routenverfolgung zu 8.8.8.8 über maximal 30 Abschnitte
1 1 ms <1 ms <1 ms 192.168.2.1
2 8 ms 8 ms 8 ms 217.0.117.209
3 8 ms 9 ms 7 ms 217.237.154.42
4 11 ms 10 ms 11 ms 217.239.52.62
5 11 ms 11 ms 11 ms 72.14.195.222
6 * * * Zeitüberschreitung der Anforderung.
7 10 ms 10 ms 10 ms 209.85.252.182
8 11 ms 10 ms 11 ms 216.239.49.85
9 11 ms 10 ms 11 ms 8.8.8.8
Ablaufverfolgung beendet.
DNS "192.168.2.15" anpingen?
klar Server anpingen geht, über die IP Adresse ratz-fatz wie das halt so sein soll, wenn ich aber über den Server-Namen "server01" pinge, dann nimmt er sich Bedenkzeit (ca. 10-15 Sekunden) raus, antwortet aber auch.
Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:
Antwort von 8.8.8.8: Bytes=32 Zeit=10ms TTL=122
Antwort von 8.8.8.8: Bytes=32 Zeit=11ms TTL=122
Antwort von 8.8.8.8: Bytes=32 Zeit=11ms TTL=122
Antwort von 8.8.8.8: Bytes=32 Zeit=10ms TTL=122
Ping-Statistik für 8.8.8.8:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 10ms, Maximum = 11ms, Mittelwert = 10ms
tracert 8.8.8.8 also das hat richtig lang gedauert, ca.2 Minuten !!!
Routenverfolgung zu 8.8.8.8 über maximal 30 Abschnitte
1 1 ms <1 ms <1 ms 192.168.2.1
2 8 ms 8 ms 8 ms 217.0.117.209
3 8 ms 9 ms 7 ms 217.237.154.42
4 11 ms 10 ms 11 ms 217.239.52.62
5 11 ms 11 ms 11 ms 72.14.195.222
6 * * * Zeitüberschreitung der Anforderung.
7 10 ms 10 ms 10 ms 209.85.252.182
8 11 ms 10 ms 11 ms 216.239.49.85
9 11 ms 10 ms 11 ms 8.8.8.8
Ablaufverfolgung beendet.
DNS "192.168.2.15" anpingen?
klar Server anpingen geht, über die IP Adresse ratz-fatz wie das halt so sein soll, wenn ich aber über den Server-Namen "server01" pinge, dann nimmt er sich Bedenkzeit (ca. 10-15 Sekunden) raus, antwortet aber auch.
Hast du mal geschaut ob deine serverperformance ggf. Im Keller ist?
(Temperatur, RAM)
Starte mal den DNS Server Dienst neu.
(Temperatur, RAM)
Starte mal den DNS Server Dienst neu.
Dann stimmt da was mit dem DNS Server nicht.
Guck mal was passiert, wenn du den Router als DNS einträgst (sofern der einen DNS Server hat). Wird vermutlich funktionieren.
Und dann guck was der DNS Server auf deinem DC sagt.Im Eventlog mal nachsehen, was da so steht
[EDIT]
Hst du evtl. einen DNS Forwarder eingerichtet? Nimm den Testweise mal raus
Guck mal was passiert, wenn du den Router als DNS einträgst (sofern der einen DNS Server hat). Wird vermutlich funktionieren.
Und dann guck was der DNS Server auf deinem DC sagt.Im Eventlog mal nachsehen, was da so steht
[EDIT]
Hst du evtl. einen DNS Forwarder eingerichtet? Nimm den Testweise mal raus
Hi MichaelW84
Server langweilt sich:
Virtueller Server auf
Intel Xeon CPU E5-2420 v2 / 2.2GHz
32 GB RAM (28GB für die VM)
SSD für Host System
SSD RAID für VM
keine auffälligen Aktivitäten im Taskmanager zu sehen!
Hab schon mehrfach alles möglich und auch den ganzen Server neu gestartet,
aber keine Besserung.
Server langweilt sich:
Virtueller Server auf
Intel Xeon CPU E5-2420 v2 / 2.2GHz
32 GB RAM (28GB für die VM)
SSD für Host System
SSD RAID für VM
keine auffälligen Aktivitäten im Taskmanager zu sehen!
Hab schon mehrfach alles möglich und auch den ganzen Server neu gestartet,
aber keine Besserung.
Hi SeaStorm,
wie schon geschrieben, reicht ja schon den Google DNS 8.8.8.8 einzutragen und schon sind die Clients surfbereit, aber halt z.B. ohne Zugriff auf Exchange am Server.
Events:
- Anwendungs- und Dienstprotokolle:
- - DNS-Server:
seit 17.06.2018 keine Warnung kein Fehler, nix, nur Info wie z.B. an, aus, Zonen geladen
In den SBS Events steht. dass er mit dem POP3 Connector keine Mails abholen kann, ID 202 und Fehlercode 0x800ccc0e, aber ich denke das ist das gleiche wie mit dem Best Practice Analyzer der behauptet er hätte keine Internetverbindung.
Kann den Mailserver aber problemlos anpingen!
wie schon geschrieben, reicht ja schon den Google DNS 8.8.8.8 einzutragen und schon sind die Clients surfbereit, aber halt z.B. ohne Zugriff auf Exchange am Server.
Events:
- Anwendungs- und Dienstprotokolle:
- - DNS-Server:
seit 17.06.2018 keine Warnung kein Fehler, nix, nur Info wie z.B. an, aus, Zonen geladen
In den SBS Events steht. dass er mit dem POP3 Connector keine Mails abholen kann, ID 202 und Fehlercode 0x800ccc0e, aber ich denke das ist das gleiche wie mit dem Best Practice Analyzer der behauptet er hätte keine Internetverbindung.
Kann den Mailserver aber problemlos anpingen!
Temperatur ok?
Hast du zwei DNS Server im Netzwerk?
Server und Router? Oder zweiter Server mit DNS als Backup oä.?
Wenn du nen neuen host a Eintrag manuell erstellst und dann nen nslookup machst wird der Name aufgelöst?
(auf dem DNS Server selbst und auf einem anderen Rechner im Netzwerk?)
Wie schaut es mit switchen aus?
Sind dort errors auf den ports? Mal die switche neugestartet?
Hast du zwei DNS Server im Netzwerk?
Server und Router? Oder zweiter Server mit DNS als Backup oä.?
Wenn du nen neuen host a Eintrag manuell erstellst und dann nen nslookup machst wird der Name aufgelöst?
(auf dem DNS Server selbst und auf einem anderen Rechner im Netzwerk?)
Wie schaut es mit switchen aus?
Sind dort errors auf den ports? Mal die switche neugestartet?
Es liegt an dem DNS da bin ich mir sicher die frage ist wo der Schuh drückt...
Laufen die clients alle mit dhcp?
Laufen die clients alle mit dhcp?
Nun ja, das denke ich ja auch, dass es am DNS Server liegt, weiß bloß nicht wie ich dem noch auf den Zahn fühlen könnte. Wie zuvor geschrieben hab ich ja schon den Test mit
dcdiag /test:dns /v /s:server01 /DnsBasic
gemacht, aber ich hab keinen Fehler auf dem Protokoll raus lesen können.
dcdiag /test:dns /v /s:server01 /DnsBasic
gemacht, aber ich hab keinen Fehler auf dem Protokoll raus lesen können.
Ja Clients laufen mit DHCP
Forwarder?
Temperatur normal
1 DNS Server (ist der SBS)
"Wenn du nen neuen host a Eintrag manuell erstellst" wie meinen ?
. für welches Gerät, IP-Adresse, ... ?
Switche waren schon mal Hausfrauresettet, ohne Veränderung
wg. Ports muss ich mal guggen ob ich da was checken kann.
1 DNS Server (ist der SBS)
"Wenn du nen neuen host a Eintrag manuell erstellst" wie meinen ?
. für welches Gerät, IP-Adresse, ... ?
Switche waren schon mal Hausfrauresettet, ohne Veränderung
wg. Ports muss ich mal guggen ob ich da was checken kann.
Nein, nix forwarded
... und vor allem, eine jahrelang funktionierende Einstellung ist von heut auf morgen das Problem, ...
Es gibt zwar bei IT nix was es nicht gibt, aber da würde ich erst dann suchen wenn ich kurz vor dem Abdrehen bin.
Ich tät ja ehr an irgendein Update glauben, aber dann wäre doch schon mehr im Netz drüber zu finden.
Es gibt zwar bei IT nix was es nicht gibt, aber da würde ich erst dann suchen wenn ich kurz vor dem Abdrehen bin.
Ich tät ja ehr an irgendein Update glauben, aber dann wäre doch schon mehr im Netz drüber zu finden.
Möglich ist alles...
Ich meine einen host a Eintrag zu irgendeinem Server oder Rechner...
Host a = testdns IP 192.168.irgendein host
Wenn du eine kleine Struktur hast mit wenigen statischen Einträgen installiere DNS neu geht wahrscheinlich schneller als zu suchen.
Ich meine einen host a Eintrag zu irgendeinem Server oder Rechner...
Host a = testdns IP 192.168.irgendein host
Wenn du eine kleine Struktur hast mit wenigen statischen Einträgen installiere DNS neu geht wahrscheinlich schneller als zu suchen.
Was war denn jetzt das Problem?
"was war" wäre doch zu schön! Es ist "immer noch!"
Komme grad vom "Außendienst" zurück, weil ich nochmal nach den Switchen schauen wollte.
Resettet, unauffällige IP vergeben, keine Veränderung. Es muss der doofe DNS Server sein
Auch wenn alle immer so über den POP3 Connector herziehen, der ist meine Versicherung für mein Nervenkostüm.
Hab auf einem Rechner jetzt die wichtigsten Mailaccounts in Outlook per IMAP konfiguriert, so können die Mädels und Cheffe morgen wenigstens mal guggen was neues gekommen ist und ich hab etwas Luft zum Atmen.
Mit DNS neu installieren meinst du Rolle löschen und neu einrichten, oder?
Hab auch nochmal geguggt wegen Weiterleitungen.
Da hat anscheinend mein Vorgänger was eingetragen,
194.25.2.129 - dns.isp.t-ipnet.de und
8.8.8.8 - Google-public-dns-a.google.com
Was macht das überhaupt für einen Sinn, die Telekom weist einem doch automatisch irgendeinen DNS Server zu?
have a good night
Komme grad vom "Außendienst" zurück, weil ich nochmal nach den Switchen schauen wollte.
Resettet, unauffällige IP vergeben, keine Veränderung. Es muss der doofe DNS Server sein
Auch wenn alle immer so über den POP3 Connector herziehen, der ist meine Versicherung für mein Nervenkostüm.
Hab auf einem Rechner jetzt die wichtigsten Mailaccounts in Outlook per IMAP konfiguriert, so können die Mädels und Cheffe morgen wenigstens mal guggen was neues gekommen ist und ich hab etwas Luft zum Atmen.
Mit DNS neu installieren meinst du Rolle löschen und neu einrichten, oder?
Hab auch nochmal geguggt wegen Weiterleitungen.
Da hat anscheinend mein Vorgänger was eingetragen,
194.25.2.129 - dns.isp.t-ipnet.de und
8.8.8.8 - Google-public-dns-a.google.com
Was macht das überhaupt für einen Sinn, die Telekom weist einem doch automatisch irgendeinen DNS Server zu?
have a good night
Und hast du die Einträge mal raus genommen ?
Moin,
läuft auf dem SBS ein AV-Tool mit Firewall?
Sind die Netzwerkeinstellungen des SBS korrekt?
ipconfig /all des SBS mal posten
Ich würde folgenden einfachen Test machen:
SBS und Router an einen alternativen Switch (irgend ein Desktopteil) gehangen, dort einen Client anschließen und testen
läuft auf dem SBS ein AV-Tool mit Firewall?
Sind die Netzwerkeinstellungen des SBS korrekt?
ipconfig /all des SBS mal posten
Ich würde folgenden einfachen Test machen:
SBS und Router an einen alternativen Switch (irgend ein Desktopteil) gehangen, dort einen Client anschließen und testen
Weiterleitungen
hab ich raus genommen,
keine Veränderung
müssen die wieder rein oder ist's wurscht?
- 194.25.2.129 - dns.isp.t-ipnet.de und
- 8.8.8.8 - Google-public-dns-a.google.com
hab ich raus genommen,
keine Veränderung
müssen die wieder rein oder ist's wurscht?
Hi goscho,
der verzweifelte Master of Desaster hat jetzt , nachdem du AV erwähnt hast einfach mal zum Testen die FW deaktiviert, ...
... und alles geht!
Isch werd noch ganz bleede!
Wie kann das Teil von jetzt auf gleich so reinfunken ohne das irgend jemand in letzter Zeit den Server angefasst hat, das hätte ich nie vermutet.
Wird jetzt mal mit den AV-Supportern kommunizieren, bin gespannt was die sagen.
Erst mal Danke für euren Einsatz an alle.
Btw.: Was ist mit den Weiterleitungen, rein, raus, Sinn, Unsinn ?
der verzweifelte Master of Desaster hat jetzt , nachdem du AV erwähnt hast einfach mal zum Testen die FW deaktiviert, ...
... und alles geht!
Isch werd noch ganz bleede!
Wie kann das Teil von jetzt auf gleich so reinfunken ohne das irgend jemand in letzter Zeit den Server angefasst hat, das hätte ich nie vermutet.
Wird jetzt mal mit den AV-Supportern kommunizieren, bin gespannt was die sagen.
Erst mal Danke für euren Einsatz an alle.
Btw.: Was ist mit den Weiterleitungen, rein, raus, Sinn, Unsinn ?
Moin,
fassen wir mal zusammen:
1. Es sind nur einige Clients betroffen und nicht alle.
Also funktioniert das System vom Prinzip.
2. Die Störung tritt seit Kurzem auf, obwohl nichts geändert wurde.
Es kann also keine falsche Konfiguration sein. Es wurde ja nichts geändert.
3. Ping auf die IP funktioniert nach innen und nach außen.
4. DNS funktioniert offensichtlich nicht mehr richtig. Der DNS-Server ist nicht (hinreichend schnell) erreichbar. Tests ergeben aber, dass alles in Ordnung zu sein scheint.
5. Intern funktioniert manches (Zugriff per RDP, Freigabe), anderes nicht (Exchange-Server).
Die Einträge des Servers im DNS sind auch alle so, wie sie sein sollen?
Insgesamt riecht das m. E. nach einem Hardwarefehler. Wäre es ein Softwarefehler, dann ginge es bei allen Clients nicht bzw. der Fehler wäre reproduzierbar. Was Du aber schilderst, ist ein Fehler der mal hier, mal dort auftritt. An anderer Stelle funktioniert aber alles.
hth
Erik
fassen wir mal zusammen:
1. Es sind nur einige Clients betroffen und nicht alle.
Also funktioniert das System vom Prinzip.
2. Die Störung tritt seit Kurzem auf, obwohl nichts geändert wurde.
Es kann also keine falsche Konfiguration sein. Es wurde ja nichts geändert.
3. Ping auf die IP funktioniert nach innen und nach außen.
4. DNS funktioniert offensichtlich nicht mehr richtig. Der DNS-Server ist nicht (hinreichend schnell) erreichbar. Tests ergeben aber, dass alles in Ordnung zu sein scheint.
5. Intern funktioniert manches (Zugriff per RDP, Freigabe), anderes nicht (Exchange-Server).
Die Einträge des Servers im DNS sind auch alle so, wie sie sein sollen?
Insgesamt riecht das m. E. nach einem Hardwarefehler. Wäre es ein Softwarefehler, dann ginge es bei allen Clients nicht bzw. der Fehler wäre reproduzierbar. Was Du aber schilderst, ist ein Fehler der mal hier, mal dort auftritt. An anderer Stelle funktioniert aber alles.
hth
Erik
Moin,
Echt jetzt? ;) Das hätte ich als erstes gemacht. ;)
Liebe Grüße
Erik
Zitat von @maofopsy:
Hi goscho,
der verzweifelte Master of Desaster hat jetzt , nachdem du AV erwähnt hast einfach mal zum Testen die FW deaktiviert, ...
... und alles geht!
Hi goscho,
der verzweifelte Master of Desaster hat jetzt , nachdem du AV erwähnt hast einfach mal zum Testen die FW deaktiviert, ...
... und alles geht!
Echt jetzt? ;) Das hätte ich als erstes gemacht. ;)
Liebe Grüße
Erik
Moin nochmal,
Das ist sinnvoll. Weiterleitung heißt, dass Dein DNS, wenn er eine Adresse nicht auflösen kann, die Auflösung nicht selbst übernimmt, sondern an einen anderen DNS weiterleitet, der dann die ganze Arbeit macht. Das entlastet also Deinen DNS von der Aufgabe externe Adressen aufzulösen. Gerade bei einem Server, der alles mögliche macht, sollte man das einstellen.
Liebe Grüße
Erik
Das ist sinnvoll. Weiterleitung heißt, dass Dein DNS, wenn er eine Adresse nicht auflösen kann, die Auflösung nicht selbst übernimmt, sondern an einen anderen DNS weiterleitet, der dann die ganze Arbeit macht. Das entlastet also Deinen DNS von der Aufgabe externe Adressen aufzulösen. Gerade bei einem Server, der alles mögliche macht, sollte man das einstellen.
Liebe Grüße
Erik
Zitat von @maofopsy:
Hi goscho,
der verzweifelte Master of Desaster hat jetzt , nachdem du AV erwähnt hast einfach mal zum Testen die FW deaktiviert, ...
... und alles geht!
Isch werd noch ganz bleede!
janz ruhig brauner Hi goscho,
der verzweifelte Master of Desaster hat jetzt , nachdem du AV erwähnt hast einfach mal zum Testen die FW deaktiviert, ...
... und alles geht!
Isch werd noch ganz bleede!
Wie kann das Teil von jetzt auf gleich so reinfunken ohne das irgend jemand in letzter Zeit den Server angefasst hat, das hätte ich nie vermutet.
Das ist schon mal ein grober Anfängerfehler.
Wird jetzt mal mit den AV-Supportern kommunizieren, bin gespannt was die sagen.
Wenn sie Ahnung haben, dann sollten sie dir erklären, dass du die Firewall weg lässt.Btw.: Was ist mit den Weiterleitungen, rein, raus, Sinn, Unsinn ?
Wenn du keine Weiterleitungen in deinem DNS-Server eingetragen hast, werden die Rootserver, die unter Stammhinweisen angelegt sind, genutzt.Teste es doch einfach und wenn du keine Probleme hast, ist alles schick. Ich habe ab und an den Router als Weiterleitungsziel eingetragen, welcher dann seine hinterlegten öffentlichen DNS-Server abfragt.
wieder rein machen. War nur zum Test
Also über einen AV, der die Shares überwacht, lässt sich ja noch reden.
Aber so eine Suite mit Firewall auf einem DC ... Das ist ein no-go !
Aber so eine Suite mit Firewall auf einem DC ... Das ist ein no-go !
Erik:
"Echt jetzt? ;) Das hätte ich als erstes gemacht. ;)"
. . Das war jetzt aber gemein!
Das mit dem "groben Anfängerfehler" ist so ne Sache. Wenn du das schon 10 Jahre lang so gemacht hast und es nie ein Problem gab, woher weißt du dann dass es ein Fehler war? :-P
Wieso keine ext. FW auf dem Server ?
AV Tool ist G Data Endpoint Protection
Hatte ja auch 'nen Hardware Fehler im Verdacht, aber einer der DNS Probleme macht kam mir doch ein bisschen komisch vor. Auch fand ich gefühlsmäßig, es muss was ganz einfaches sein, keine verhunzte Konfiguration die Jahre lang taugt und dann plötzlich nicht mehr.
"Echt jetzt? ;) Das hätte ich als erstes gemacht. ;)"
. . Das war jetzt aber gemein!
Das mit dem "groben Anfängerfehler" ist so ne Sache. Wenn du das schon 10 Jahre lang so gemacht hast und es nie ein Problem gab, woher weißt du dann dass es ein Fehler war? :-P
Wieso keine ext. FW auf dem Server ?
AV Tool ist G Data Endpoint Protection
Hatte ja auch 'nen Hardware Fehler im Verdacht, aber einer der DNS Probleme macht kam mir doch ein bisschen komisch vor. Auch fand ich gefühlsmäßig, es muss was ganz einfaches sein, keine verhunzte Konfiguration die Jahre lang taugt und dann plötzlich nicht mehr.
Das fragst du noch, nach der Aktion?
Gegenfrage: Warum brauchst du Zwei Firewalls? Windows hat eine an Bord. Die Dienste die man auf so ner Kiste aktiviert, schalten sich da selbstständig ihre benötigten Ports frei. Danach funktioniert das dann.
Deine Firewall bekommt ein Herstellerupdate und dann geht mal eben das DNS nicht mehr.
Gegenfrage: Warum brauchst du Zwei Firewalls? Windows hat eine an Bord. Die Dienste die man auf so ner Kiste aktiviert, schalten sich da selbstständig ihre benötigten Ports frei. Danach funktioniert das dann.
Deine Firewall bekommt ein Herstellerupdate und dann geht mal eben das DNS nicht mehr.
Ok, wenn die Windows FW genügend taugt !?
Letztlich habe ich einen Bericht gelesen, dass der Defender inzwischen stark aufgeholt hat und nun richtig gut und somit ausreichend sein soll.
Nun sagt ja jeder Hersteller, seins ist super und mehr braucht man nicht, die Frage ist, ist's objektiv richtig? So lange nix passiert hat jeder recht, wenn aber mal alle Daten weg sind und man sich den Wolf tanzt beim Rücksichern aus Backups (die man hoffentlich aktuell hat), fragt man sich vielleicht ob's doch etwas mehr hätte sein dürfen.
Auf jeden Fall ist das Argument für eine systemeigene integrierte Firewall für mich schon nachvollziehbar und so schön war die Aktion mal eben auch nicht.
Gruß
Helmut
Letztlich habe ich einen Bericht gelesen, dass der Defender inzwischen stark aufgeholt hat und nun richtig gut und somit ausreichend sein soll.
Nun sagt ja jeder Hersteller, seins ist super und mehr braucht man nicht, die Frage ist, ist's objektiv richtig? So lange nix passiert hat jeder recht, wenn aber mal alle Daten weg sind und man sich den Wolf tanzt beim Rücksichern aus Backups (die man hoffentlich aktuell hat), fragt man sich vielleicht ob's doch etwas mehr hätte sein dürfen.
Auf jeden Fall ist das Argument für eine systemeigene integrierte Firewall für mich schon nachvollziehbar und so schön war die Aktion mal eben auch nicht.
Gruß
Helmut
also ganz grundsätzlich ist JEDE Software-firewall erst mal nur eine grössere Angriffsfläche, da sie auch wieder Sicherheitslücken hat.
Von daher: Jede hinzugefügte Komplexität bietet einfach nur noch mehr Angriffsfläche. Je mehr Quatsch da in der Firewall ist, desto mehr komplexität, desto mehr Bugs.
Die Hauseigene Firewall macht da halt das, was sie soll: Port auf oder zu, optional noch mit der dahinterliegenden Software als Parameter (Grob gesagt).
Virenscanner sind ... naja im Grunde das gleiche Thema. Sie schützen so oder so nur vor bekannten Gefahren. Über Sinn oder Unsinn lässt sich da endlos reden. Gibt da unzählige Beispiele, warum ein Virenscanner nutzlos bis kontra-produktiv ist, aber natürlich auch valide Argumente, warum es doch einen geben sollte.
Wie gesagt: Meine Meinung ist, das ein Virenscanner für Shares durchaus seine Berechtigung hat. Den Rest des Systems überwachen muss nicht sein.
Defender ist mMn bei Clients genug. Die Sicherheit muss durch andere Mechanismen kommen (SRP/Applocker, Deaktivieren von Makros in Office, JS/VBA/PS usw als extensions deaktivieren uvm). Aber das ist ne andere Diskussion ;)
Von daher: Jede hinzugefügte Komplexität bietet einfach nur noch mehr Angriffsfläche. Je mehr Quatsch da in der Firewall ist, desto mehr komplexität, desto mehr Bugs.
Die Hauseigene Firewall macht da halt das, was sie soll: Port auf oder zu, optional noch mit der dahinterliegenden Software als Parameter (Grob gesagt).
Virenscanner sind ... naja im Grunde das gleiche Thema. Sie schützen so oder so nur vor bekannten Gefahren. Über Sinn oder Unsinn lässt sich da endlos reden. Gibt da unzählige Beispiele, warum ein Virenscanner nutzlos bis kontra-produktiv ist, aber natürlich auch valide Argumente, warum es doch einen geben sollte.
Wie gesagt: Meine Meinung ist, das ein Virenscanner für Shares durchaus seine Berechtigung hat. Den Rest des Systems überwachen muss nicht sein.
Defender ist mMn bei Clients genug. Die Sicherheit muss durch andere Mechanismen kommen (SRP/Applocker, Deaktivieren von Makros in Office, JS/VBA/PS usw als extensions deaktivieren uvm). Aber das ist ne andere Diskussion ;)
Hatte einen telefonischen Rückruf zu meiner Supportanfrage wegen der Firewall.
Es gab keine Updates, das machen die nicht ungefragt, sie erinnern mich bloß wenn es was gibt.
Er meint, irgendwas war anders als sonst, sonst hätte die FW (so vermutet er) die dns.exe nicht geblockt. Es gibt da ein Tool (GDFwAdmin.exe), wo ich bei laufender FW live sehen kann wenn was geblockt wird. Damit kann ich dann ganz einfach mich um die Konfiguration eines Regelsatzes kümmern.
Er meinte aber auch, wenn ich als Router ein ordentliches Gerät hab, wie z.B. in meinem Fall einen LANCOM, bräuchte ich vielleicht nicht unbedingt noch die G Data Firewall.
So, dann wird ich de Thread bald mal als gelöst markieren.
Danke all den Unterstützern!
Gruß
Helmut
Es gab keine Updates, das machen die nicht ungefragt, sie erinnern mich bloß wenn es was gibt.
Er meint, irgendwas war anders als sonst, sonst hätte die FW (so vermutet er) die dns.exe nicht geblockt. Es gibt da ein Tool (GDFwAdmin.exe), wo ich bei laufender FW live sehen kann wenn was geblockt wird. Damit kann ich dann ganz einfach mich um die Konfiguration eines Regelsatzes kümmern.
Er meinte aber auch, wenn ich als Router ein ordentliches Gerät hab, wie z.B. in meinem Fall einen LANCOM, bräuchte ich vielleicht nicht unbedingt noch die G Data Firewall.
So, dann wird ich de Thread bald mal als gelöst markieren.
Danke all den Unterstützern!
Gruß
Helmut
Zitat von @maofopsy:
Er meint, irgendwas war anders als sonst, sonst hätte die FW (so vermutet er) die dns.exe nicht geblockt. Es gibt da ein Tool (GDFwAdmin.exe), wo ich bei laufender FW live sehen kann wenn was geblockt wird. Damit kann ich dann ganz einfach mich um die Konfiguration eines Regelsatzes kümmern.
Vermutlich wird es auch ein Log geben, aus welchem hervorgeht, was wann und warum geblockt wurde.Er meint, irgendwas war anders als sonst, sonst hätte die FW (so vermutet er) die dns.exe nicht geblockt. Es gibt da ein Tool (GDFwAdmin.exe), wo ich bei laufender FW live sehen kann wenn was geblockt wird. Damit kann ich dann ganz einfach mich um die Konfiguration eines Regelsatzes kümmern.
Er meinte aber auch, wenn ich als Router ein ordentliches Gerät hab, wie z.B. in meinem Fall einen LANCOM, bräuchte ich vielleicht nicht unbedingt noch die G Data Firewall.
Auf dem Server ist die Softwarefirewall von deiner AV-Suite eh kontraproduktiv.Ich richte bei sehr vielen kleineren Umgebungen zentral verwaltete AV-Lösungen ein (nutze dafür Symantec Endpoint Protection).
Auf Server kommt dabei in den meisten Fällen nix davon bzw. nur ein Grundschutz, der die Shares überprüft.
