mfernau
Goto Top

Windows 2008 Domain Server - DNS Auflösungsprobleme nach extern

Guten Morgen,

ich habe öfter mal Probleme mit den DNS-Servern meiner Windows 2008 Instanzen. Es kommt hin und wieder mal vor (auch bei Kunden), dass der DNS-Server manche Domains nicht auflösen möchte (obwohl es funktionieren müsste).
Äußern tut sich das meistens durch nicht erreichbare oder nur halb aufgebaute Internet Seiten.
Die Lösung ist simple: DNS-Cache löschen. Danach funktioniert es in 99.9% der Fälle wieder. Aber es nervt einfach...

Ein Beispiel gerade bei mir in der Firma:
Ich möchte www.conrad.biz aufrufen und bekomme die Fehlermeldung: Firefox can't find the server at www.conrad.biz.

Gut, schnell mal in die Konsole von meinem Arbeitsplatz (linux) gegangen und folgendes probiert:
--- cut
$ dig www.conrad.biz +trace

; <<>> DiG 9.8.1 <<>> www.conrad.biz +trace
;; global options: +cmd
. 3600 IN NS l.root-servers.net.
. 3600 IN NS k.root-servers.net.
. 3600 IN NS j.root-servers.net.
. 3600 IN NS i.root-servers.net.
. 3600 IN NS h.root-servers.net.
. 3600 IN NS g.root-servers.net.
. 3600 IN NS f.root-servers.net.
. 3600 IN NS e.root-servers.net.
. 3600 IN NS d.root-servers.net.
. 3600 IN NS c.root-servers.net.
. 3600 IN NS b.root-servers.net.
. 3600 IN NS a.root-servers.net.
. 3600 IN NS m.root-servers.net.
;; Received 509 bytes from 10.0.0.5#53(10.0.0.5) in 4 ms

biz. 172800 IN NS c.gtld.biz.
biz. 172800 IN NS e.gtld.biz.
biz. 172800 IN NS a.gtld.biz.
biz. 172800 IN NS k.gtld.biz.
biz. 172800 IN NS f.gtld.biz.
biz. 172800 IN NS b.gtld.biz.
dig: couldn't get address for 'c.gtld.biz': not found
--- cut

Der DNS-Server (in diesem Fall ein Windows 2008 R2) findet also c.gtld.biz nicht?
Kurze Gegenprobe auf einem Root-Server von mir (der seinen eigenen BIND DNS-Server hat):
--- cut
  1. dig www.conrad.biz +trace @6649

; <<>> DiG 9.7.3 <<>> www.conrad.biz +trace @6649
;; global options: +cmd
. 3600000 IN NS B.ROOT-SERVERS.NET.
. 3600000 IN NS K.ROOT-SERVERS.NET.
. 3600000 IN NS M.ROOT-SERVERS.NET.
. 3600000 IN NS J.ROOT-SERVERS.NET.
. 3600000 IN NS E.ROOT-SERVERS.NET.
. 3600000 IN NS L.ROOT-SERVERS.NET.
. 3600000 IN NS F.ROOT-SERVERS.NET.
. 3600000 IN NS C.ROOT-SERVERS.NET.
. 3600000 IN NS A.ROOT-SERVERS.NET.
. 3600000 IN NS G.ROOT-SERVERS.NET.
. 3600000 IN NS D.ROOT-SERVERS.NET.
. 3600000 IN NS H.ROOT-SERVERS.NET.
. 3600000 IN NS I.ROOT-SERVERS.NET.
;; Received 228 bytes from 1.2.3.4#53(1.2.3.4) in 0 ms

biz. 172800 IN NS a.gtld.biz.
biz. 172800 IN NS b.gtld.biz.
biz. 172800 IN NS c.gtld.biz.
biz. 172800 IN NS e.gtld.biz.
biz. 172800 IN NS f.gtld.biz.
biz. 172800 IN NS k.gtld.biz.
;; Received 313 bytes from 198.41.0.4#53(A.ROOT-SERVERS.NET) in 7 ms

conrad.biz. 7200 IN NS DNS1.CSCDNS.NET.
conrad.biz. 7200 IN NS DNS2.CSCDNS.NET.
;; Received 80 bytes from 156.154.127.65#53(c.gtld.biz) in 19 ms

www.conrad.biz. 86400 IN CNAME www.conrad.de.edgekey.net.
;; Received 71 bytes from 199.254.53.250#53(DNS2.CSCDNS.NET) in 93 ms
--- cut

Toll - funktioniert! Aber wieso klappt das jetzt nicht bei meinem lokalen DNS-Server?

Schöne Grüße
Martin

Content-ID: 188266

Url: https://administrator.de/forum/windows-2008-domain-server-dns-aufloesungsprobleme-nach-extern-188266.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

SpeakerST
SpeakerST 19.07.2012 um 11:49:42 Uhr
Goto Top
Ich denke wie du oben schon geschrieben hast das der Cache voll ist. Was passiert den wenn du es mit einer bedingten Weiterleitung versuchst?! sprich wenn dein DNS es nicht kann das er es an einen anderen DNS Server weiterleitet
mfernau
mfernau 19.07.2012 um 12:05:10 Uhr
Goto Top
Cache ist voll? In den heutigen Zeiten kann ich mir das beim besten Willen nicht vorstellen. Hier arbeiten auch nur 5 Mann. Ist ja nicht so als wäre dieser Server für ein Großunternehmen zuständig face-smile
Der müsste sich vor Langeweile eigentlich selbst abschalten...

Du meinst keine bedingte Weiterleitung, sondern einfach eine normale Weiterleitung. Ich weiß nicht wieso ich eine solche Weiterleitung einrichten sollte. Ich mache so etwas eigentlich ungern. Öffentliche DNS-Server kommen und gehen. Ich bin da lieber autark - sonst renne ich irgendwann allen meinen Kunden hinterher und muss nicht mehr erreichbare DNS-Server, die ich als Weiterleitung definiert hatte, wieder abändern. Das sind m.E. Fehlerquellen die man sich sparen kann. Dafür habe ich den DNS-Server ja face-smile

Schöne Grüße
Martin
AndiEoh
AndiEoh 19.07.2012 um 13:35:43 Uhr
Goto Top
Hallo

da wären folgende Fragen zu klären:
- Wie ist die Anbindung nach draußen (Firewall, DNS-Proxy etc.) für den internen DNS Server
- Sind vor allem .biz betroffen oder eher alles zufällig verteilt
- Gibt es Fehler im DNS Server Log
- Ist DNSSEC eingeschaltet


Gruß

Andi
mfernau
mfernau 19.07.2012 aktualisiert um 13:57:24 Uhr
Goto Top
Hallo Andi,

- der Server ist nach außen über einen LANCOM-Router angeschlossen. Firewall ist dort nicht eingeschaltet bzw es werden keine Pakete nach außen blockiert.
- Es sind nicht nur .biz betroffen. Die Verteilung ist zufällig und betrifft in diesem Fall einfach nur diese .biz-Domain.
- DNSSEC ist meines Wissens nach nicht eingeschaltet. Zumindest nicht wissentlich da ich das noch nie aktiv irgendwo konfiguriert habe.
- Das DNS Server Log ist frei von Fehleinträgen. Das Einzige was ich öfter finde ist etwas in dieser Art:

--- cut
Ereignistyp: Informationen
Ereignisquelle: DNS
Ereigniskategorie: Keine
Ereignis-ID: 5501
Datum: 19.07.2012
Zeit: 11:15:13
Benutzer: Nicht zutreffend
Computer: adserver
Beschreibung:
Der DNS-Server hat ein fehlerhaftes Paket von 66.171.230.26 festgestellt. Die Paketverarbeitung überschreitet die Länge des Paketes. Die Ereignisdaten enthalten das DNS-Paket.
--- cut

Solche Meldungen kommen mehrfach am Tag mit unterschiedlichen, sich aber wiederholenden, IP-Adressen vor. Keine Ahnung ob das "normal" ist oder nicht.

Schöne Grüße
Martin
AndiEoh
AndiEoh 19.07.2012 um 23:21:39 Uhr
Goto Top
Hallo

sieht für mich wie ein EDNS0 Problem aus. Ist ein Standard um DNS Packete >512Byte zu ermöglichen, leider hat es sich noch nicht bei allen Herstellern von Filtern herumgesprochen. Manche Firewalls/IDS kürzen die Packete schlicht auf 512Byte und damit ist die Auflösung im Eimer.

Mal das hier testen:
http://weblogs.asp.net/owscott/archive/2009/09/15/windows-server-2008-r ...
https://www.dns-oarc.net/oarc/services/replysizetest/

Die eigentliche Lösung wäre es den Filter zu finden der die Packete verhunzt. Habt ihr vielleicht noch eine Firewall beim Provider oder sonstwo Upstream?

Gruß

Andi
mfernau
mfernau 19.07.2012 um 23:49:51 Uhr
Goto Top
Guten Abend,

vielen Dank für die Links. Das war enorm Aufschlussreich! Direkt nach dem Abschalten von EDNS funktionierte die Abfrage reibungslos. Hoch interessant - nun weiss ich wo ich ansetzen kann.
Das Einzige was zwischen uns und dem Internet exisitert wäre ein LANCOM-Router. Was unser Provider noch so anstellt weiss ich nicht. Da habe ich auch keinerei Einfluss drauf. Wenn ich nochmal Zeit finde kann ich ja mal heraus finden ob der LANCOM dafür verantwortlich ist. Kann ich mir aber eigentlich auch nicht vorstellen - ich aktualisiere die Firmware eigentlich regelmässig...

Schönen Grüße
Martin