7
Sporadische DNS-Probleme in Site2Site Aussenstelle
Hallo zusammen!
Ich bräuchte mal wieder euer Wissen, da meins anscheinend zu wenig ausgereift ist.
Wir haben ne Aussenstelle welche als Site2Site angebunden ist.
Seit längerer Zeit haben wir das Problem, dass sporadisch die Servernamen nicht aufgelöst werden können. (z.B. ping "Servername" oder ping "Servername.Domänenname") funktioniert nicht.
Interessant dabei ist, dass ein nslookup immer funktioniert. Ein Ping auf die IP des Server funktioniert auch immer.
Folgend ein Printscreen um das ganze zu erläutern:
Im Hauptnetzwerk arbeiten wir mit den gleichen DNS-Servern und haben keinerlei Probleme. (DNS-Server befinden sich im Hauptnetzwerk, da die Aussenstelle über keinerlei Server verfügt, da zu klein und keine Serverinfrastruktur.)
Da das Problem sporadisch ist, weiß ich nicht genau, wo ich suchen soll. Auf der Firewall finde ich keine Meldungen bezüglich geblockten anfragen. Das Gerät sagt einfach, es kann den Server nicht finden obwohl ein nslookup funktioniert usw. Was mir bis jetzt aufgefallen ist, ist das ein ipconfig /displaydns keine gewünschte Einträge zeigt. Kann es sein, dass das Gerät nur in der lokalen Hostdatei nachschaut, dort nichts findet und anstatt den DNS-Server zu fragen aufgibt?
Falls Ihr Gedankenanstösse habt für mich, wäre ich euch sehr dankbar!
Falls Ihr froh um weitere Angaben wärt, gerne melden!
Grüsse
KMUlife
Ich bräuchte mal wieder euer Wissen, da meins anscheinend zu wenig ausgereift ist.
Wir haben ne Aussenstelle welche als Site2Site angebunden ist.
Seit längerer Zeit haben wir das Problem, dass sporadisch die Servernamen nicht aufgelöst werden können. (z.B. ping "Servername" oder ping "Servername.Domänenname") funktioniert nicht.
Interessant dabei ist, dass ein nslookup immer funktioniert. Ein Ping auf die IP des Server funktioniert auch immer.
Folgend ein Printscreen um das ganze zu erläutern:
Im Hauptnetzwerk arbeiten wir mit den gleichen DNS-Servern und haben keinerlei Probleme. (DNS-Server befinden sich im Hauptnetzwerk, da die Aussenstelle über keinerlei Server verfügt, da zu klein und keine Serverinfrastruktur.)
Da das Problem sporadisch ist, weiß ich nicht genau, wo ich suchen soll. Auf der Firewall finde ich keine Meldungen bezüglich geblockten anfragen. Das Gerät sagt einfach, es kann den Server nicht finden obwohl ein nslookup funktioniert usw. Was mir bis jetzt aufgefallen ist, ist das ein ipconfig /displaydns keine gewünschte Einträge zeigt. Kann es sein, dass das Gerät nur in der lokalen Hostdatei nachschaut, dort nichts findet und anstatt den DNS-Server zu fragen aufgibt?
Falls Ihr Gedankenanstösse habt für mich, wäre ich euch sehr dankbar!
Falls Ihr froh um weitere Angaben wärt, gerne melden!
Grüsse
KMUlife
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 382829
Url: https://administrator.de/contentid/382829
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Dir ist schon bekannt das ein ping andere mechanism nutzt als ein nslookup? Der nslookup nutzt immmer den DNS, ein ping greift auf cache zurück. Lies mal https://blogs.msdn.microsoft.com/nitinsingh/2013/06/24/dilemma-of-name-r ...
https://www.cbfive.com/ping-vs-nslookup/
https://cr.yp.to/djbdns/nslookup.html
Gruß,
Peter
Zitat von @KMUlife:
Seit längerer Zeit haben wir das Problem, dass sporadisch die Servernamen nicht aufgelöst werden können. (z.B. ping "Servername" oder ping "Servername.Domänenname") funktioniert nicht.
Interessant dabei ist, dass ein nslookup immer funktioniert.
Wie und womit wird im Standort DNS gemacht bzw. wer leitet weiter usw.?Seit längerer Zeit haben wir das Problem, dass sporadisch die Servernamen nicht aufgelöst werden können. (z.B. ping "Servername" oder ping "Servername.Domänenname") funktioniert nicht.
Interessant dabei ist, dass ein nslookup immer funktioniert.
Dir ist schon bekannt das ein ping andere mechanism nutzt als ein nslookup? Der nslookup nutzt immmer den DNS, ein ping greift auf cache zurück. Lies mal https://blogs.msdn.microsoft.com/nitinsingh/2013/06/24/dilemma-of-name-r ...
https://www.cbfive.com/ping-vs-nslookup/
Ein Ping auf die IP des Server funktioniert auch immer.
Auf die IP bedeutet das ja auch kein DNS involviert ist.https://cr.yp.to/djbdns/nslookup.html
Gruß,
Peter
Hallo Peter, Danke für die verschiedenen Links!
Also Ablauf bei ping:
Erstens nein es ist nicht die eigene Maschine
Zweitens nein der Server ist nicht im Cache zu finden (kann ich prüfen mit ipconfig /displaydns oder?)
Drittens er fragt den DNS server an. --> Wie mit nslookup zu sehen ist, kennt der DNS Server den Namen ja.
Spätestens bei Punkt drei sollte er ja fündig werden?
Ist mir bewusst, wollte es nur erwähnt haben.
Der DNS der Hauptstelle ist momentan direkt an erster Position eingetragen, etwas unschön weil komplett alle DNS-Anfragen über die Hauptstelle laufen was viel traffic produziert. Aber da momentan keine Serverinfrastruktur vorhanden ist, hat man es mal so gelöst. Ich hoffe aber, dass ich bald n kleines Serverlein aufstellen kann, welcher als Read-Only DC fungiert und DNS macht. Aber das ist vorerst Zukunftsmusik.
Grüsse
KMUlife
Zitat von @Pjordorf:
Dir ist schon bekannt das ein ping andere mechanism nutzt als ein nslookup? Der nslookup nutzt immmer den DNS, ein ping greift auf cache zurück.
Dies ist mir bewusst, so Detailiert wie in deinen Links habe ich es aber noch nie zu Gesicht bekommen, danke!Dir ist schon bekannt das ein ping andere mechanism nutzt als ein nslookup? Der nslookup nutzt immmer den DNS, ein ping greift auf cache zurück.
- Windows checks whether the host name is the same as the local host name.
- If the host name and local host name are not the same, Windows searches the DNS client resolver cache.
- If the host name cannot be resolved using the DNS client resolver cache, Windows sends DNS Name Query Request messages to its configured DNS servers.
Also Ablauf bei ping:
Erstens nein es ist nicht die eigene Maschine
Zweitens nein der Server ist nicht im Cache zu finden (kann ich prüfen mit ipconfig /displaydns oder?)
Drittens er fragt den DNS server an. --> Wie mit nslookup zu sehen ist, kennt der DNS Server den Namen ja.
Spätestens bei Punkt drei sollte er ja fündig werden?
Ein Ping auf die IP des Server funktioniert auch immer.
Auf die IP bedeutet das ja auch kein DNS involviert ist.Wie und womit wird im Standort DNS gemacht bzw. wer leitet weiter usw.?
Der DNS der Hauptstelle ist momentan direkt an erster Position eingetragen, etwas unschön weil komplett alle DNS-Anfragen über die Hauptstelle laufen was viel traffic produziert. Aber da momentan keine Serverinfrastruktur vorhanden ist, hat man es mal so gelöst. Ich hoffe aber, dass ich bald n kleines Serverlein aufstellen kann, welcher als Read-Only DC fungiert und DNS macht. Aber das ist vorerst Zukunftsmusik.
Grüsse
KMUlife
Hallo,
https://www.pcworld.com/article/3200117/linux/how-to-use-raspberry-pi-as ...
https://www.raspberrypi.org/forums/viewtopic.php?t=46154
Gruß,
Peter
Zitat von @KMUlife:
Aber da momentan keine Serverinfrastruktur vorhanden ist, hat man es mal so gelöst. Ich hoffe aber,
Das kann dein Router sein da die meisten eh nur DNS Weiterleitung ohne Cache können. Das kann ein Raspi mit DNSMasq sein. Auch viele Firewalls z.B. Sophos UTM (SG oder XG) können auch DNS Spielen.Aber da momentan keine Serverinfrastruktur vorhanden ist, hat man es mal so gelöst. Ich hoffe aber,
https://www.pcworld.com/article/3200117/linux/how-to-use-raspberry-pi-as ...
https://www.raspberrypi.org/forums/viewtopic.php?t=46154
Gruß,
Peter
Hallo KMUlife,
welche Router/Firewalls setzt du ein, um den VPN-Tunnel aufzubauen? Ich habe so etwas ähnliches bei Sonicwall vor einigen Jahren gesehen. Schuld war damals der DNS-Cache des Routers und die Funktion zum Komprimieren des Datenverkehrs im VPN-Tunnel.
Wenn du einen Abfrage an der Außenstelle absetzt, was siehst du zu dem Zeitpunkt auf den beiden Routern (Außenstelle/Hauptstelle)?
Gruß,
Dani
welche Router/Firewalls setzt du ein, um den VPN-Tunnel aufzubauen? Ich habe so etwas ähnliches bei Sonicwall vor einigen Jahren gesehen. Schuld war damals der DNS-Cache des Routers und die Funktion zum Komprimieren des Datenverkehrs im VPN-Tunnel.
Wenn du einen Abfrage an der Außenstelle absetzt, was siehst du zu dem Zeitpunkt auf den beiden Routern (Außenstelle/Hauptstelle)?
Der DNS der Hauptstelle ist momentan direkt an erster Position eingetragen, etwas unschön weil komplett alle DNS-Anfragen über die Hauptstelle laufen was viel traffic produziert.
Was heißt viel? Wir haben auch Außenstellen, wo keine Infrastruktur vorgehalten wird. Meist sind das Standorte mit < 20 Rechnern.Gruß,
Dani
Hallo,
Gruß,
Peter
Zitat von @KMUlife:
weil komplett alle DNS-Anfragen über die Hauptstelle laufen was viel traffic produziert.
Wieviel GigaBytes werden denn da generiert bzw. laufen über dein VPN. Das sind höchstens ein paar Hundert Megabytes über den Tag verteilt. Nimm mal Wireshark oder dein Router zur Messung was an DNS bei dir über die Leitung geht. Vielleicht hat dein ROUTER / VPN ja ein Problem oder du hast einfach schlecht konfiguriert. Gehen denn alle DNS Anfragen deiner Clients über die Hauptstelle oder nur die deiner Domäne und die anderen wie die suche nach Namen ausm Internet wie z.B. www,google.de gehen am VPN vorbei? Hast du dein VPN für eine Bridge genommen oder Routet die wie es sein sollte? Was also ist viel traffic (auf DNS gesehen)?weil komplett alle DNS-Anfragen über die Hauptstelle laufen was viel traffic produziert.
Gruß,
Peter
Hi Dani
Interessant, ist ne Sonicwall TZ400 auf beiden Seiten.
Muss ich prüfen, komme heute aber sicher nicht mehr dazu. --> melde mich wieder.
Ich muss wohl Korrigieren, nicht viel traffic, sondern unnötiger traffic. Und ja der DNS-Traffic alleine ist eigentlich nicht erwähnenswert...
@pjodorf, wie bereits erwähnt gehen alle DNS-Anfragen über die Hauptstelle, der effektive aufruf der seite passiert dann aber schon direkt und nicht übers vpn.
Ich werde die neuen Informationen mal untersuchen, brauche dafür aber etwas Zeit. Danke für eure Kommentare! Falls euch noch mehr in den Sinn kommt, einfach reinwerfen.
Grüsse
KMUlife
Zitat von @Dani:
Hallo KMUlife,
welche Router/Firewalls setzt du ein, um den VPN-Tunnel aufzubauen? Ich habe so etwas ähnliches bei Sonicwall vor einigen Jahren gesehen. Schuld war damals der DNS-Cache des Routers und die Funktion zum Komprimieren des Datenverkehrs im VPN-Tunnel.
Hallo KMUlife,
welche Router/Firewalls setzt du ein, um den VPN-Tunnel aufzubauen? Ich habe so etwas ähnliches bei Sonicwall vor einigen Jahren gesehen. Schuld war damals der DNS-Cache des Routers und die Funktion zum Komprimieren des Datenverkehrs im VPN-Tunnel.
Interessant, ist ne Sonicwall TZ400 auf beiden Seiten.
Wenn du einen Abfrage an der Außenstelle absetzt, was siehst du zu dem Zeitpunkt auf den beiden Routern (Außenstelle/Hauptstelle)?
Muss ich prüfen, komme heute aber sicher nicht mehr dazu. --> melde mich wieder.
Was heißt viel? Wir haben auch Außenstellen, wo keine Infrastruktur vorgehalten wird. Meist sind das Standorte mit < 20 Rechnern.
Ich muss wohl Korrigieren, nicht viel traffic, sondern unnötiger traffic. Und ja der DNS-Traffic alleine ist eigentlich nicht erwähnenswert...
@pjodorf, wie bereits erwähnt gehen alle DNS-Anfragen über die Hauptstelle, der effektive aufruf der seite passiert dann aber schon direkt und nicht übers vpn.
Ich werde die neuen Informationen mal untersuchen, brauche dafür aber etwas Zeit. Danke für eure Kommentare! Falls euch noch mehr in den Sinn kommt, einfach reinwerfen
.Grüsse
KMUlife
Hallo,
Dann sag der am Standort das alles was für deine Domäne ist zum Hauptstandort geht und alle anderen nutzen den Rovider ISP DNS.
https://www.sonicwall.com/en-us/support/knowledge-base/170505917055646
Gruß,
Peter
Dann sag der am Standort das alles was für deine Domäne ist zum Hauptstandort geht und alle anderen nutzen den Rovider ISP DNS.
https://www.sonicwall.com/en-us/support/knowledge-base/170505917055646
Gruß,
Peter
