sunshineadmin
Goto Top

Win DNS funktioniert nicht für alle Domainanfragen

Hallo zusammen,

ich habe ein Problem mit den Windows DNS-Server in einer AD-Umgebung.
Gegebenen sind zwei Domaincontroller (Server 2022 21H2 OEM als VMs unter Hyper-V auf zwei unterschiedlichen Hardwareservern), jeweils mit DNS- und DHCP-Server.
Bei den Netzwerkeinstellungen sind als DNS-Server jeweils die IP des anderen Domaincontrollers und die eigene IP eingetragen.

Leider funktioniert die Namensauflösung nicht dauerhaft.
Das heißt die Clientanfragen bekommen sehr oft keine IP-Adresse zurück - manche Anfragen bekommen ein Ergebnis zurück andere nicht.
Also kein Totalausfall.

Sprich im Internetbrowser wird die Webseite nicht angezeigt oder Teile davon können nicht nachgeladen werden die von anderen Domains kommen oder in der Eingabeaufforderung ergibt ein nslookup z. B. ein "catalog.s.download.windowsupdate.com wurde von UnKnown nicht gefunden: Server failed." zurück.

Dabei spielt es keine Rolle ob nslookup direkt auf dem Server oder einem Client ausgeführt wird.
Das Problem besteht bei beiden Servern.

Aufgefallen ist es mir als Windowsupdates nicht funktionierten (an mehreren PCs/Notebooks), erst dachte ich, das es evtl. Störungen bei Microsoft gibt.
Habe dann aber herausgefunden, dass die Namensauflösung nicht funktioniert.

Jetzt kommt aber das für mich seltsame, wenn ich mir im DNS-Manager die Einträge unter "Zwischengespeicherten Lookupvorgänge" angeschaut habe, waren dort Einträge zu den angeblich nicht existierenden Domänen vorhanden.
Eine kurzfristige Hilfe ist der Neustart des DNS-Server-Dienstes, Löschen des Caches im DNS-Manager oder das Löschen des einzelnen Eintrags einer nicht funktionierenden Domain.
Danach funktionieren DNS-Abfragen wieder, leider oft nur wenige Minuten.
Bei den überprüften Domänen waren oft mehrere verknüpfte Aliase dabei ( Domäne1 ist Alias von Domäne2 die wieder ein Alias von Domäne3 ist ...)

Die Windows DNS-Server wurden einfach über Rollen und Features installiert und als Weiterleitungen einmal aktuell 9.9.9.9 und die IP der Firewall hinterlegt.
Nslookup auf 9.9.9.9 oder die Firewall funktionieren zeitgleich während der Windows-server kein Ergebnis zurück gibt.

Habe aktuell auch in DNS-Manager unter den Eigenschaften des Servers bei der Ereignisprotokollierung auf "Alle Ereignisse" gestellt.
Aber im Ereignisprotokoll taucht nichts auf.

Ich kann auch nicht sagen seit wann dieses Problem exisiert, "normale Anwender" haben sich bisher auch nicht beschwert.
Seit dem erstmaligen Auftreten wurden auch Windowsupdates auf den Servern installiert, das hat aber keine Abhilfe geschaffen, das Problem ist weiterhin da.
Am Anfang war auch nicht klar das es ein mittlerweile dauerhaftes Problem ist. Dachte ich das ein Neustart des Dienstes ja das Problem behoben hatte, leider wohl nur kurzfristig.

Beispiel einer nicht funktionierenden Auflösung:
ein nslookup auf catalog.s.download.windowsupdate.com schlägt fehl aber im DNS-Manager sind diese Einträge enthalten
catalog.s.download.windowsupdate.com Alias(CName)
wu-ssl-geo.trafficmanager.net Alias(CName)
wildcardwu-ssl.azureedge.net Alias(CName)
wildcardwu-ssl.ec.azureedge.net Alias(CName)
scdn28557.wpc.ad629.nucdn.net Alias(CName)
sni1gl.wpc.nucdn.net -> Addresses: 2606:2800:233:1cb7:261b:1f9c:2074:3c
152.199.21.175

Cache löschen erneutes nslookup -> funktioniert

Kennt jemand das Phänomen oder hat noch einen Tipp?
Den Workaround alle paar Minuten den DNS Cache zuleeren will ich nicht dauerhaft laufen lassen.

Danke und VG Derek

Content-ID: 6753605253

Url: https://administrator.de/forum/win-dns-funktioniert-nicht-fuer-alle-domainanfragen-6753605253.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

support-m
support-m 13.04.2023 um 12:20:22 Uhr
Goto Top
Hi,
das klingt erstmal etwas nach Murks. Wie wurden die beiden Domänencontroller installiert? In der Regel wird die Installation des DNS-Servers automatisch von Windows durchgeführt, wenn du die AD-Dienst installierst. Die DNS-Zonen werden dann im AD gespeichert und zu weiteren DNS-Servern im AD repliziert. Zeigen DNS-Weiterleitungen auf den jeweils anderen AD? Wenn ja sinds die zu entfernen. Gibt es bei deinem Router entsprechende DNS-Weiterleitungen, die wieder auf die ADs zeigen o.ä.? Was für einen Router nutzt du?

Wie sind die beiden DHCP Server installiert? Als Loadbalancing oder gleiche Bereiche oder unterschiedliche Bereiche o.ä.? Wenn die DHCP-Server nicht als HA konfiguriert sind darf nur ein DHCP-Server aktiv sein, da es sonst ein Durcheinander von vergebenen IP-Adressen gibt, IPs doppelt vergeben werden können usw.

MfG
Kraemer
Kraemer 13.04.2023 aktualisiert um 13:09:38 Uhr
Goto Top
Moin,

Zitat von @SunshineAdmin:
Gegebenen sind zwei Domaincontroller (Server 2022 21H2 OEM als VMs unter Hyper-V auf zwei unterschiedlichen Hardwareservern), jeweils mit DNS- und DHCP-Server.
mich wundert, das die DHCP-Server nicht meckern, dass schon einer vorhanden ist

Bei den Netzwerkeinstellungen sind als DNS-Server jeweils die IP des anderen Domaincontrollers und die eigene IP eingetragen.
dort trägst du jeweils nur die IP des anderen ein, nicht die eigene

per DHCP lieferst du für die Clients allerdings beide DNS(AD)-Server aus

Die Windows DNS-Server wurden einfach über Rollen und Features installiert und als Weiterleitungen einmal aktuell 9.9.9.9 und die IP der Firewall hinterlegt.
wähle entweder externe DNS-Server oder die Firewall welche selbst dann weiterleiten muss. Ich bevorzuge die Angabe zweier externer DNS-Server

Gruß

PS: was zu lesen
ArnoNymous
ArnoNymous 13.04.2023 um 14:19:19 Uhr
Goto Top
Moin

Zitat von @Kraemer:

Moin,

Zitat von @SunshineAdmin:
Gegebenen sind zwei Domaincontroller (Server 2022 21H2 OEM als VMs unter Hyper-V auf zwei unterschiedlichen Hardwareservern), jeweils mit DNS- und DHCP-Server.
mich wundert, das die DHCP-Server nicht meckern, dass schon einer vorhanden ist


Vielleicht ja ein Failover.

Bei den Netzwerkeinstellungen sind als DNS-Server jeweils die IP des anderen Domaincontrollers und die eigene IP eingetragen.
dort trägst du jeweils nur die IP des anderen ein, nicht die eigene


Nö. Erst den 2., dann die eigene IP. Steht auch so in deinem Link.


Gruß
SunshineAdmin
SunshineAdmin 13.04.2023 um 14:23:40 Uhr
Goto Top
Hi zusammen,

schonmal Danke für die Rückmeldungen.

Ja DNS wurde mit eingerichtet bei der Installation des AD.
DHCP ist mit Failover eingerichtet.
Es gibt auch keine Problme bei der Vergabe von IP-Adressen.
Auch bei der internen Auflösung von IP-Adressen gibt es keine Probleme.
Probleme gibt es bei der Auflösung externer Namen, aber nicht bei allen.

Wie gesagt in den Netzwerkkarteneinstellungen ist bei DNS-Server jeweils die IP des anderen DCs und die eigene IP eingetragen. Wäre mir neu hier nur die IP des anderen DCs einzutragen.
Weiterleitung im DNS-Server ursprünglich nur auf die Firewall (diese fragt Quad DNS), die Firewall ist eine Zyxel USG Flex 200.
Jetzt zusätzlich im DNS-Server als ersten Quad DNS und als zweiten die Firewall, hat aber auch keine Abhilfe geschaffen.

Wenn man andere fragt fallen einem selbst noch Dinge ein.
Deshalb habe ich erst jetzt ein dcdiag /test:dns ausgeführt, hier gibt es tatsächlich einen Fehler:
Es taucht noch ein alter nicht mehr vorhandener DC auf.

Unternehmenstests werden ausgeführt auf: xxxx.xx
Starting test: DNS
Testergebnisse für Domänencontroller:

Domänencontroller: AD02.xxxx.xx
Domäne: xxxx.xx

TEST: Delegations (Del)
Fehler: DNS-Server: ad01.xxxx.xx. IP: <Nicht verfügbar> [Missing glue A record]

Zusammenfassung der DNS-Testergebnisse:

Auth. Bas. Weiterl. Entf. Dyn. RReg. Erw.
_________________________________________________________________
Domäne: xxxx.xx
AD02 PASS PASS PASS FAIL PASS PASS n/a


Da ist beim Entfernen des alten DC noch irgendwo etwas zurückgeblieben.
In Active Directory-Standorte und -Dienste stand er nicht mehr.
Auch im AD Benutzer und Computer ist kein Eintrag mehr zu finden.
Ein paar Einträge habe ich tatsächlich im DNS-Manager gefunden (in den Eigenschaften von der Reverse-Lookupzone ), aber wohl nicht alles.
Ich kann mir aber auch nicht vorstellen das deshalb die externe Namensauflösung spinnt, intern hätte ich ja noch verstanden.

Ich suche erstmal weiter.

VG Derek
SunshineAdmin
SunshineAdmin 13.04.2023 um 14:37:18 Uhr
Goto Top
Hi,

so im DNS-Manager unter
Forward-Lookupzonen
--xxxxxx.xx
-- _msdcs
Stand der alte DC auch noch drinnen.
Jetzt lief dcdiag /test:dns sauber durch.

Ob das die Lösung war wird sich zeigen....

VG Derek
Kraemer
Kraemer 13.04.2023 um 14:45:04 Uhr
Goto Top
Zitat von @ArnoNymous:

Bei den Netzwerkeinstellungen sind als DNS-Server jeweils die IP des anderen Domaincontrollers und die eigene IP eingetragen.
dort trägst du jeweils nur die IP des anderen ein, nicht die eigene


Nö. Erst den 2., dann die eigene IP. Steht auch so in deinem Link.
da steht auch, das M$ die Loopback da sehen will...

Und ich habe nicht behauptet, das meine Empfehlungen dort 1:1 stehen. Ich habe eine Empfehlung ausgesprochen und dem TO einen Link an die Hand gegeben, mit der er sich selbst ein Bild machen kann.
SunshineAdmin
SunshineAdmin 13.04.2023 um 15:26:18 Uhr
Goto Top
Zitat von @SunshineAdmin:

Hi,

so im DNS-Manager unter
Forward-Lookupzonen
--xxxxxx.xx
-- _msdcs
Stand der alte DC auch noch drinnen.
Jetzt lief dcdiag /test:dns sauber durch.

Ob das die Lösung war wird sich zeigen....

VG Derek

Hi zusammen,
Das Entfernen der Reste im DNS des alten DCs hat nichts gebracht.
Hätte mich auch gewundert.

VG Derek
maretz
maretz 14.04.2023 um 07:16:05 Uhr
Goto Top
hast du mal was ganz simples probiert? Nämlich als Forwarder den DNS deines Providers einzutragen? Und nich irgendeinen "free dns"?
SunshineAdmin
SunshineAdmin 14.04.2023 um 08:09:55 Uhr
Goto Top
Hi,
die ursprüngliche Konfiguration war Win-DNS Forwarder -> Firewall Forwader 1 +2 DNS Provider, 3 DNS QuadDNS.
Dann verschiedene Konfigs durchprobiert, Reihenfolge in der Firewall geändert, direkt im Win-DNS Provider und zum Schluss QuadDNS eingestellt.

Wenn der nslookup irgendeine.domain 127.0.0.1 oder nslookup irgendeine.domain IP-des-DCs kein Ergebnis brachte,
waren nslookup irgendeine.domain IP-der-Firewall oder QuadDNS immer erfolgreich.

VG Derek
SunshineAdmin
SunshineAdmin 14.04.2023 um 08:13:34 Uhr
Goto Top
Hi zusammen,

über Nacht hatte ich jetzt mal beim Windows DNS-Server in den Eigenschaften->Erweitert die DNSSEC-Überprüfung abgewählt (dnscmd.exe localhost /RetrieveRootTrustAnchors /f hatte ich die Tage auch schon nochmal durchgeführt).

Heute morgen funktionierten bisher meine Test nslookup Abfragen.

Bin mal gespannt, was sich weiter ergibt.

VG Derek