datax87
Goto Top

Sporadische DNS-Ausfälle, ICMP-Destination-unreachable-Port-unreachable

Hallo Leute,

brauche einmal etwas Support bei der Fehlersuche bezüglich einer DNS-Problematik.

Habe hier ein Netzwerk mit dem Subnetz 192.168.100.0/24,
in welchem die Clients sporadisch das Problem haben, für einige Sekunden auf DNS-Anfragen
keine Antwort zu bekommen.

Die Clients stehen allesamt auf "DHCP" und bekommen als DNS-Server die
2 Domänencontroller mit den IP-Adressen 192.168.100.66 und 192.168.100.77 übermittelt.

Mir wurde ein Wireshark-Capture zur Verfügung gestellt,
das auf einem der betroffenen Clients erstellt wurde.

Im Capture sind mir ICMP-Destination-unreachable-Port-unreachable-Meldungen
aufgefallen, die der Client an einen der Domänencontroller versendet hat.

Die ICMP-Destination-unreachable-Port-unreachable verstehe ich so,
dass der Client als Antwort auf die vom Domänencontroller erhaltene DNS-Antwort
eben diesem mitteilt, dass der UDP-Port (des Clients), an den der Domänencontroller die DNS-Antwort gesendet hat,
bereits geschlossen ist.

Den Wireshark-Capture kann ich nachreichen. Nicht, dass ich den Capture falsch verstehe ^^.

Im Event-Log der Domänencontroller konnte ich keine Einträge finden,
die auf ein Problem mit deren Netzwerkanbindung und/oder dem DNS-Dienst hindeuten.

Hat schon mal jemand mit so einer DNS-Problematik zu tun gehabt?

Wie könnten die sporadischen DNS-Ausfälle zustande kommen?

Wo sollte ich mit der weiteren Fehlersuche ansetzen?

Freue mich auf eure Rückmeldungen. Danke vorab.

Gruß, Datax

Content-ID: 669217

Url: https://administrator.de/forum/sporadische-dns-ausfaelle-icmp-destination-unreachable-port-unreachable-669217.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

Vision2015
Vision2015 03.11.2024 aktualisiert um 13:39:35 Uhr
Goto Top
Moin...

sicher das es nur DNS anfragen sind?
Ping´s gehen zu jederzeit ?
was sagen den DC´s über den DNS /DHCP im ereignisprotokoll dazu?
was sagen deine Switche dazu, logs nachgeschaut, schlecht oder nicht konfiguriert? LACP?
ist eventuell ein fremder DNS/DHCP im Netzwerk?
sind das alles externe oder interne anfragen?

Frank
aqui
aqui 03.11.2024 aktualisiert um 14:15:34 Uhr
Goto Top
dass der UDP-Port (des Clients)
Oder TCP Port! Die IP Welt besteht bekanntlich nicht nur aus UDP. DNS (53) selber nutzt TCP und UDP.
https://de.wikipedia.org/wiki/Domain_Name_System
Letztlich bedeutet es das der Client keinen aktiven Dienst auf dem vom Server angesprochenen TCP oder UDP Port hat und so einen Typ 3 versendet.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Wie oben schon vom Kollegen @Vision2015 gesagt solltest du erstmal prüfen welchen TCP oder UDP Port der Client hier anmeckert. Das muss ja nicht 53 sein.
Switches werden ganz sicher kein Grund sein, weil die an einer L3 IP Kommunikation völlig unbeteiligt sind. Die kennen nur Mac Adressen... face-wink
Vision2015
Vision2015 03.11.2024 um 15:01:55 Uhr
Goto Top
Moin..
Switches werden ganz sicher kein Grund sein, weil die an einer L3 IP Kommunikation völlig unbeteiligt sind. Die kennen nur Mac Adressen... face-wink

ja und nein face-smile
managed Switche, z.b die Cisco Serien 200 und 300 bzw. Catalyst usw. könne DNS verteilen, oder dein DHCP im VLAN ist falsch eingerichtet... oder oder oder... in der config nen falschen DNS eingetragen, und da hast den Salat face-smile
Frank
aqui
aqui 03.11.2024 um 15:52:01 Uhr
Goto Top
Ist beim TO aber sehr wahrscheinlich nicht der Fall weil er ja innerhalb seiner Layer 2 Broadcast Domain bleibt mit Client und Server. face-wink
em-pie
em-pie 03.11.2024 aktualisiert um 16:28:25 Uhr
Goto Top
Moin,

Habe hier ein Netzwerk mit dem Subnetz 192.168.100.0/24, in welchem die Clients sporadisch das Problem haben, für einige Sekunden auf DNS-Anfragen keine Antwort zu bekommen.
Gilt das nur für interne, externe oder egal welche Ziele?

Denkbar wäre es ja, dass nur einer der DCs den externen DNS befragen darf…
Vision2015
Vision2015 03.11.2024 um 16:53:03 Uhr
Goto Top
Moin,

Gilt das nur für interne, externe oder egal welche Ziele?
die frage hatte ich eingangs auch schon gestellt!
jetzt sind wir mal gespannt was der TO dazu sagt face-smile

Frank
Datax87
Datax87 03.11.2024 um 17:18:34 Uhr
Goto Top
Hi zusammen,

werde mal in Erfahrung bringen, ob es hier ausschließlich um Domänen-interne DNS-Anfragen geht
oder ob auch DNS-Anfragen für öffentliche Hostnamen betroffen sind.

Werde auch mal schauen, ob ggf. einer der DNS-Server (Domänencontroller) ggf.
nicht in der Lage ist (weil zum Beispiel durch eine Firewall geblockt) öffentliche Hostnamen
aufzulösen.

In dem betreffenden Subnetz sollte es wirklich nur diese 2 DNS-Server (Domänencontroller) geben.

Werde aber auch prüfen, ob die DNS-Antworten auch wirklich immer von den korrekten MAC-Adressen aus versendet werden. Nicht, dass irgendein anderes Gerät die gleiche IP-Adresse wie einer der Domänencontroller hat.

Wobei ich dann ja im Capture auch Duplicate-IP-Adress-Meldungen sehen müsste,
die ich bisher nicht gesehen habe.

Melde mich wieder...

Danke schon mal für eure Rückmeldungen und Infos.

Gruß, Datax
aqui
aqui 10.11.2024 um 11:57:47 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu schliessen.
Wie kann ich einen Beitrag als gelöst markieren?