kmulife
Goto Top

Sporadische DNS-Probleme in Site2Site Aussenstelle

Hallo zusammen!

Ich bräuchte mal wieder euer Wissen, da meins anscheinend zu wenig ausgereift ist. face-wink
Wir haben ne Aussenstelle welche als Site2Site angebunden ist.

Seit längerer Zeit haben wir das Problem, dass sporadisch die Servernamen nicht aufgelöst werden können. (z.B. ping "Servername" oder ping "Servername.Domänenname") funktioniert nicht.
Interessant dabei ist, dass ein nslookup immer funktioniert. Ein Ping auf die IP des Server funktioniert auch immer.

Folgend ein Printscreen um das ganze zu erläutern:

dns

Im Hauptnetzwerk arbeiten wir mit den gleichen DNS-Servern und haben keinerlei Probleme. (DNS-Server befinden sich im Hauptnetzwerk, da die Aussenstelle über keinerlei Server verfügt, da zu klein und keine Serverinfrastruktur.)

Da das Problem sporadisch ist, weiß ich nicht genau, wo ich suchen soll. Auf der Firewall finde ich keine Meldungen bezüglich geblockten anfragen. Das Gerät sagt einfach, es kann den Server nicht finden obwohl ein nslookup funktioniert usw. Was mir bis jetzt aufgefallen ist, ist das ein ipconfig /displaydns keine gewünschte Einträge zeigt. Kann es sein, dass das Gerät nur in der lokalen Hostdatei nachschaut, dort nichts findet und anstatt den DNS-Server zu fragen aufgibt?

Falls Ihr Gedankenanstösse habt für mich, wäre ich euch sehr dankbar! face-smile
Falls Ihr froh um weitere Angaben wärt, gerne melden!

Grüsse
KMUlife

Content-ID: 382829

Url: https://administrator.de/forum/sporadische-dns-probleme-in-site2site-aussenstelle-382829.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

Pjordorf
Pjordorf 09.08.2018 aktualisiert um 10:35:57 Uhr
Goto Top
Hallo,

Zitat von @KMUlife:
Seit längerer Zeit haben wir das Problem, dass sporadisch die Servernamen nicht aufgelöst werden können. (z.B. ping "Servername" oder ping "Servername.Domänenname") funktioniert nicht.
Interessant dabei ist, dass ein nslookup immer funktioniert.
Wie und womit wird im Standort DNS gemacht bzw. wer leitet weiter usw.?
Dir ist schon bekannt das ein ping andere mechanism nutzt als ein nslookup? Der nslookup nutzt immmer den DNS, ein ping greift auf cache zurück. Lies mal https://blogs.msdn.microsoft.com/nitinsingh/2013/06/24/dilemma-of-name-r ...
https://www.cbfive.com/ping-vs-nslookup/

Ein Ping auf die IP des Server funktioniert auch immer.
Auf die IP bedeutet das ja auch kein DNS involviert ist.

https://cr.yp.to/djbdns/nslookup.html

Gruß,
Peter
KMUlife
KMUlife 09.08.2018 um 11:21:45 Uhr
Goto Top
Hallo Peter, Danke für die verschiedenen Links!

Zitat von @Pjordorf:
Dir ist schon bekannt das ein ping andere mechanism nutzt als ein nslookup? Der nslookup nutzt immmer den DNS, ein ping greift auf cache zurück.

Dies ist mir bewusst, so Detailiert wie in deinen Links habe ich es aber noch nie zu Gesicht bekommen, danke!

  • Windows checks whether the host name is the same as the local host name.
  • If the host name and local host name are not the same, Windows searches the DNS client resolver cache.
  • If the host name cannot be resolved using the DNS client resolver cache, Windows sends DNS Name Query Request messages to its configured DNS servers.

Also Ablauf bei ping:
Erstens nein es ist nicht die eigene Maschine
Zweitens nein der Server ist nicht im Cache zu finden (kann ich prüfen mit ipconfig /displaydns oder?)
Drittens er fragt den DNS server an. --> Wie mit nslookup zu sehen ist, kennt der DNS Server den Namen ja.

Spätestens bei Punkt drei sollte er ja fündig werden?

Ein Ping auf die IP des Server funktioniert auch immer.
Auf die IP bedeutet das ja auch kein DNS involviert ist.

Ist mir bewusst, wollte es nur erwähnt haben.

Wie und womit wird im Standort DNS gemacht bzw. wer leitet weiter usw.?

Der DNS der Hauptstelle ist momentan direkt an erster Position eingetragen, etwas unschön weil komplett alle DNS-Anfragen über die Hauptstelle laufen was viel traffic produziert. Aber da momentan keine Serverinfrastruktur vorhanden ist, hat man es mal so gelöst. Ich hoffe aber, dass ich bald n kleines Serverlein aufstellen kann, welcher als Read-Only DC fungiert und DNS macht. Aber das ist vorerst Zukunftsmusik.

Grüsse
KMUlife
Pjordorf
Pjordorf 09.08.2018 um 11:31:31 Uhr
Goto Top
Hallo,

Zitat von @KMUlife:
Aber da momentan keine Serverinfrastruktur vorhanden ist, hat man es mal so gelöst. Ich hoffe aber,
Das kann dein Router sein da die meisten eh nur DNS Weiterleitung ohne Cache können. Das kann ein Raspi mit DNSMasq sein. Auch viele Firewalls z.B. Sophos UTM (SG oder XG) können auch DNS Spielen.
https://www.pcworld.com/article/3200117/linux/how-to-use-raspberry-pi-as ...
https://www.raspberrypi.org/forums/viewtopic.php?t=46154

Gruß,
Peter
Dani
Lösung Dani 09.08.2018 um 12:22:03 Uhr
Goto Top
Hallo KMUlife,
welche Router/Firewalls setzt du ein, um den VPN-Tunnel aufzubauen? Ich habe so etwas ähnliches bei Sonicwall vor einigen Jahren gesehen. Schuld war damals der DNS-Cache des Routers und die Funktion zum Komprimieren des Datenverkehrs im VPN-Tunnel.

Wenn du einen Abfrage an der Außenstelle absetzt, was siehst du zu dem Zeitpunkt auf den beiden Routern (Außenstelle/Hauptstelle)?

Der DNS der Hauptstelle ist momentan direkt an erster Position eingetragen, etwas unschön weil komplett alle DNS-Anfragen über die Hauptstelle laufen was viel traffic produziert.
Was heißt viel? Wir haben auch Außenstellen, wo keine Infrastruktur vorgehalten wird. Meist sind das Standorte mit < 20 Rechnern.


Gruß,
Dani
Pjordorf
Pjordorf 09.08.2018 um 13:37:38 Uhr
Goto Top
Hallo,

Zitat von @KMUlife:
weil komplett alle DNS-Anfragen über die Hauptstelle laufen was viel traffic produziert.
Wieviel GigaBytes werden denn da generiert bzw. laufen über dein VPN. Das sind höchstens ein paar Hundert Megabytes über den Tag verteilt. Nimm mal Wireshark oder dein Router zur Messung was an DNS bei dir über die Leitung geht. Vielleicht hat dein ROUTER / VPN ja ein Problem oder du hast einfach schlecht konfiguriert. Gehen denn alle DNS Anfragen deiner Clients über die Hauptstelle oder nur die deiner Domäne und die anderen wie die suche nach Namen ausm Internet wie z.B. www,google.de gehen am VPN vorbei? Hast du dein VPN für eine Bridge genommen oder Routet die wie es sein sollte? Was also ist viel traffic (auf DNS gesehen)?

Gruß,
Peter
KMUlife
KMUlife 09.08.2018 um 15:47:06 Uhr
Goto Top
Hi Dani
Zitat von @Dani:

Hallo KMUlife,
welche Router/Firewalls setzt du ein, um den VPN-Tunnel aufzubauen? Ich habe so etwas ähnliches bei Sonicwall vor einigen Jahren gesehen. Schuld war damals der DNS-Cache des Routers und die Funktion zum Komprimieren des Datenverkehrs im VPN-Tunnel.


Interessant, ist ne Sonicwall TZ400 auf beiden Seiten.

Wenn du einen Abfrage an der Außenstelle absetzt, was siehst du zu dem Zeitpunkt auf den beiden Routern (Außenstelle/Hauptstelle)?

Muss ich prüfen, komme heute aber sicher nicht mehr dazu. --> melde mich wieder.

Was heißt viel? Wir haben auch Außenstellen, wo keine Infrastruktur vorgehalten wird. Meist sind das Standorte mit < 20 Rechnern.

Ich muss wohl Korrigieren, nicht viel traffic, sondern unnötiger traffic. Und ja der DNS-Traffic alleine ist eigentlich nicht erwähnenswert...
@pjodorf, wie bereits erwähnt gehen alle DNS-Anfragen über die Hauptstelle, der effektive aufruf der seite passiert dann aber schon direkt und nicht übers vpn.

Ich werde die neuen Informationen mal untersuchen, brauche dafür aber etwas Zeit. Danke für eure Kommentare! Falls euch noch mehr in den Sinn kommt, einfach reinwerfen face-smile.


Grüsse
KMUlife
Pjordorf
Lösung Pjordorf 09.08.2018 um 15:54:17 Uhr
Goto Top
Hallo,

Zitat von @KMUlife:
Interessant, ist ne Sonicwall TZ400 auf beiden Seiten.
Dann sag der am Standort das alles was für deine Domäne ist zum Hauptstandort geht und alle anderen nutzen den Rovider ISP DNS.
https://www.sonicwall.com/en-us/support/knowledge-base/170505917055646

Gruß,
Peter