8
Sporadische DNS-Ausfälle, ICMP-Destination-unreachable-Port-unreachable
Hallo Leute,
brauche einmal etwas Support bei der Fehlersuche bezüglich einer DNS-Problematik.
Habe hier ein Netzwerk mit dem Subnetz 192.168.100.0/24,
in welchem die Clients sporadisch das Problem haben, für einige Sekunden auf DNS-Anfragen
keine Antwort zu bekommen.
Die Clients stehen allesamt auf "DHCP" und bekommen als DNS-Server die
2 Domänencontroller mit den IP-Adressen 192.168.100.66 und 192.168.100.77 übermittelt.
Mir wurde ein Wireshark-Capture zur Verfügung gestellt,
das auf einem der betroffenen Clients erstellt wurde.
Im Capture sind mir ICMP-Destination-unreachable-Port-unreachable-Meldungen
aufgefallen, die der Client an einen der Domänencontroller versendet hat.
Die ICMP-Destination-unreachable-Port-unreachable verstehe ich so,
dass der Client als Antwort auf die vom Domänencontroller erhaltene DNS-Antwort
eben diesem mitteilt, dass der UDP-Port (des Clients), an den der Domänencontroller die DNS-Antwort gesendet hat,
bereits geschlossen ist.
Den Wireshark-Capture kann ich nachreichen. Nicht, dass ich den Capture falsch verstehe ^^.
Im Event-Log der Domänencontroller konnte ich keine Einträge finden,
die auf ein Problem mit deren Netzwerkanbindung und/oder dem DNS-Dienst hindeuten.
Hat schon mal jemand mit so einer DNS-Problematik zu tun gehabt?
Wie könnten die sporadischen DNS-Ausfälle zustande kommen?
Wo sollte ich mit der weiteren Fehlersuche ansetzen?
Freue mich auf eure Rückmeldungen. Danke vorab.
Gruß, Datax
brauche einmal etwas Support bei der Fehlersuche bezüglich einer DNS-Problematik.
Habe hier ein Netzwerk mit dem Subnetz 192.168.100.0/24,
in welchem die Clients sporadisch das Problem haben, für einige Sekunden auf DNS-Anfragen
keine Antwort zu bekommen.
Die Clients stehen allesamt auf "DHCP" und bekommen als DNS-Server die
2 Domänencontroller mit den IP-Adressen 192.168.100.66 und 192.168.100.77 übermittelt.
Mir wurde ein Wireshark-Capture zur Verfügung gestellt,
das auf einem der betroffenen Clients erstellt wurde.
Im Capture sind mir ICMP-Destination-unreachable-Port-unreachable-Meldungen
aufgefallen, die der Client an einen der Domänencontroller versendet hat.
Die ICMP-Destination-unreachable-Port-unreachable verstehe ich so,
dass der Client als Antwort auf die vom Domänencontroller erhaltene DNS-Antwort
eben diesem mitteilt, dass der UDP-Port (des Clients), an den der Domänencontroller die DNS-Antwort gesendet hat,
bereits geschlossen ist.
Den Wireshark-Capture kann ich nachreichen. Nicht, dass ich den Capture falsch verstehe ^^.
Im Event-Log der Domänencontroller konnte ich keine Einträge finden,
die auf ein Problem mit deren Netzwerkanbindung und/oder dem DNS-Dienst hindeuten.
Hat schon mal jemand mit so einer DNS-Problematik zu tun gehabt?
Wie könnten die sporadischen DNS-Ausfälle zustande kommen?
Wo sollte ich mit der weiteren Fehlersuche ansetzen?
Freue mich auf eure Rückmeldungen. Danke vorab.
Gruß, Datax
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669217
Url: https://administrator.de/contentid/669217
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
8 Kommentare
Neuester Kommentar
Moin...
sicher das es nur DNS anfragen sind?
Ping´s gehen zu jederzeit ?
was sagen den DC´s über den DNS /DHCP im ereignisprotokoll dazu?
was sagen deine Switche dazu, logs nachgeschaut, schlecht oder nicht konfiguriert? LACP?
ist eventuell ein fremder DNS/DHCP im Netzwerk?
sind das alles externe oder interne anfragen?
Frank
sicher das es nur DNS anfragen sind?
Ping´s gehen zu jederzeit ?
was sagen den DC´s über den DNS /DHCP im ereignisprotokoll dazu?
was sagen deine Switche dazu, logs nachgeschaut, schlecht oder nicht konfiguriert? LACP?
ist eventuell ein fremder DNS/DHCP im Netzwerk?
sind das alles externe oder interne anfragen?
Frank
dass der UDP-Port (des Clients)
Oder TCP Port! Die IP Welt besteht bekanntlich nicht nur aus UDP. DNS (53) selber nutzt TCP und UDP.https://de.wikipedia.org/wiki/Domain_Name_System
Letztlich bedeutet es das der Client keinen aktiven Dienst auf dem vom Server angesprochenen TCP oder UDP Port hat und so einen Typ 3 versendet.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Wie oben schon vom Kollegen @Vision2015 gesagt solltest du erstmal prüfen welchen TCP oder UDP Port der Client hier anmeckert. Das muss ja nicht 53 sein.
Switches werden ganz sicher kein Grund sein, weil die an einer L3 IP Kommunikation völlig unbeteiligt sind. Die kennen nur Mac Adressen...
Moin..
ja und nein
managed Switche, z.b die Cisco Serien 200 und 300 bzw. Catalyst usw. könne DNS verteilen, oder dein DHCP im VLAN ist falsch eingerichtet... oder oder oder... in der config nen falschen DNS eingetragen, und da hast den Salat
Frank
Switches werden ganz sicher kein Grund sein, weil die an einer L3 IP Kommunikation völlig unbeteiligt sind. Die kennen nur Mac Adressen... face-wink
ja und nein
managed Switche, z.b die Cisco Serien 200 und 300 bzw. Catalyst usw. könne DNS verteilen, oder dein DHCP im VLAN ist falsch eingerichtet... oder oder oder... in der config nen falschen DNS eingetragen, und da hast den Salat
Frank
Ist beim TO aber sehr wahrscheinlich nicht der Fall weil er ja innerhalb seiner Layer 2 Broadcast Domain bleibt mit Client und Server.
1
Moin,
Denkbar wäre es ja, dass nur einer der DCs den externen DNS befragen darf…
Habe hier ein Netzwerk mit dem Subnetz 192.168.100.0/24, in welchem die Clients sporadisch das Problem haben, für einige Sekunden auf DNS-Anfragen keine Antwort zu bekommen.
Gilt das nur für interne, externe oder egal welche Ziele?Denkbar wäre es ja, dass nur einer der DCs den externen DNS befragen darf…
1
Moin,
jetzt sind wir mal gespannt was der TO dazu sagt
Frank
Gilt das nur für interne, externe oder egal welche Ziele?
die frage hatte ich eingangs auch schon gestellt!jetzt sind wir mal gespannt was der TO dazu sagt
Frank
Hi zusammen,
werde mal in Erfahrung bringen, ob es hier ausschließlich um Domänen-interne DNS-Anfragen geht
oder ob auch DNS-Anfragen für öffentliche Hostnamen betroffen sind.
Werde auch mal schauen, ob ggf. einer der DNS-Server (Domänencontroller) ggf.
nicht in der Lage ist (weil zum Beispiel durch eine Firewall geblockt) öffentliche Hostnamen
aufzulösen.
In dem betreffenden Subnetz sollte es wirklich nur diese 2 DNS-Server (Domänencontroller) geben.
Werde aber auch prüfen, ob die DNS-Antworten auch wirklich immer von den korrekten MAC-Adressen aus versendet werden. Nicht, dass irgendein anderes Gerät die gleiche IP-Adresse wie einer der Domänencontroller hat.
Wobei ich dann ja im Capture auch Duplicate-IP-Adress-Meldungen sehen müsste,
die ich bisher nicht gesehen habe.
Melde mich wieder...
Danke schon mal für eure Rückmeldungen und Infos.
Gruß, Datax
werde mal in Erfahrung bringen, ob es hier ausschließlich um Domänen-interne DNS-Anfragen geht
oder ob auch DNS-Anfragen für öffentliche Hostnamen betroffen sind.
Werde auch mal schauen, ob ggf. einer der DNS-Server (Domänencontroller) ggf.
nicht in der Lage ist (weil zum Beispiel durch eine Firewall geblockt) öffentliche Hostnamen
aufzulösen.
In dem betreffenden Subnetz sollte es wirklich nur diese 2 DNS-Server (Domänencontroller) geben.
Werde aber auch prüfen, ob die DNS-Antworten auch wirklich immer von den korrekten MAC-Adressen aus versendet werden. Nicht, dass irgendein anderes Gerät die gleiche IP-Adresse wie einer der Domänencontroller hat.
Wobei ich dann ja im Capture auch Duplicate-IP-Adress-Meldungen sehen müsste,
die ich bisher nicht gesehen habe.
Melde mich wieder...
Danke schon mal für eure Rückmeldungen und Infos.
Gruß, Datax
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu schliessen.
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
