Windows DNS-Server mit aktivierter DNSSEC-Validierung: SERVFAIL bei bestimmten CDN-Abfragen
Hallo zusammen,
hab hier ein für mich nicht mehr nachvollziehbares Problem:
Windows DNS-Server (hab hier 2012 + 2019 - beide betroffen) mit aktivierter DNSSEC-Validierung bekommt bei manchen CDN-Abfragen Schluckauf und spuckt dann nur noch SERVFAIL-Meldungen aus, z.B. hier:
Manchmal funktioniert die Abfrage direkt am Anfang (vor allem wenn der DNS-Server neugestartet und Cache gelöscht wurde) und für die nächsten paar Minuten ist auch alles gut. Aber irgendwann kommt dann nur noch der DNS-Serverfehler zurück und der geht dann manchmal erst wieder weg, wenn ich den DNS-Server neustarte + Cache lösche.
Manchmal ist es aber auch so, dass die erste Abfrage fehlschlägt und erst die nächste dann funktioniert. Das hab ich vor allem dann, wenn ich keine DNS-Weiterleitung zu unserem DNS-Resolver drin habe, sondern einfach die Root-Zonen nutze.
Im Grunde spielt aber das Weiterleitungsziel keine Rolle, ich habe unsere IPFire-Firewall (Unbound als DNS-Resolver), die Google-DNS-Server, Digitalcourage-DNS, Cloudflare u. Root-Zonen getestet. Überall gabs spätestens nach ein paar Minuten wieder Auflösungsprobleme mit obiger CDN-Abfrage. Wenn ich unsere Firewall direkt als Resolver nutze, funktioniert die Auflösung übrigens immer:
Die DNSSEC-Validierung ist im IPFire ebenfalls aktiviert und macht hier keine Probleme.
Achso und nochwas: deaktiviere ich die DNSSEC-Validierung im Windows DNS-Server, funktioniert die DNS-Auflösung solcher CDN-Abfragen problemlos. Bin hier etwas überfragt, was für ein Problem der Windows DNS-Server da hat. Einer ne Idee?
gruß oli
hab hier ein für mich nicht mehr nachvollziehbares Problem:
Windows DNS-Server (hab hier 2012 + 2019 - beide betroffen) mit aktivierter DNSSEC-Validierung bekommt bei manchen CDN-Abfragen Schluckauf und spuckt dann nur noch SERVFAIL-Meldungen aus, z.B. hier:
Resolve-DnsName cdn.valofe.com -server <dns-server-ip>
Resolve-DnsName : cdn.valofe.com : DNS-Serverfehler
In Zeile:1 Zeichen:1
+ Resolve-DnsName cdn.valofe.com -server <dns-server-ip>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (cdn.valofe.com:String) [Resolve-DnsName], Win32Exception
+ FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsNameManchmal funktioniert die Abfrage direkt am Anfang (vor allem wenn der DNS-Server neugestartet und Cache gelöscht wurde) und für die nächsten paar Minuten ist auch alles gut. Aber irgendwann kommt dann nur noch der DNS-Serverfehler zurück und der geht dann manchmal erst wieder weg, wenn ich den DNS-Server neustarte + Cache lösche.
Manchmal ist es aber auch so, dass die erste Abfrage fehlschlägt und erst die nächste dann funktioniert. Das hab ich vor allem dann, wenn ich keine DNS-Weiterleitung zu unserem DNS-Resolver drin habe, sondern einfach die Root-Zonen nutze.
Im Grunde spielt aber das Weiterleitungsziel keine Rolle, ich habe unsere IPFire-Firewall (Unbound als DNS-Resolver), die Google-DNS-Server, Digitalcourage-DNS, Cloudflare u. Root-Zonen getestet. Überall gabs spätestens nach ein paar Minuten wieder Auflösungsprobleme mit obiger CDN-Abfrage. Wenn ich unsere Firewall direkt als Resolver nutze, funktioniert die Auflösung übrigens immer:
Resolve-DnsName cdn.valofe.com -server <ipfire-ip>
Name Type TTL Section NameHost
---- ---- --- ------- --------
cdn.valofe.com CNAME 300 Answer cdn.valofe.com.cdngc.net
cdn.valofe.com.cdngc.net CNAME 300 Answer cdn.valofe.com.wtxcdn.com
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 119.207.67.20
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 222.122.14.16
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 14.0.115.211
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 14.0.113.222
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 14.0.113.220
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 14.0.112.124
Name : wtxcdn.com
QueryType : SOA
TTL : 60
Section : Authority
NameAdministrator : webmaster.glb0.lxdns.com
SerialNumber : 1422577239
TimeToZoneRefresh : 10800
TimeToZoneFailureRetry : 3600
TimeToExpiration : 604800
DefaultTTL : 60Die DNSSEC-Validierung ist im IPFire ebenfalls aktiviert und macht hier keine Probleme.
Achso und nochwas: deaktiviere ich die DNSSEC-Validierung im Windows DNS-Server, funktioniert die DNS-Auflösung solcher CDN-Abfragen problemlos. Bin hier etwas überfragt, was für ein Problem der Windows DNS-Server da hat. Einer ne Idee?
gruß oli
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 485009
Url: https://administrator.de/forum/windows-dns-server-mit-aktivierter-dnssec-validierung-servfail-bei-bestimmten-cdn-abfragen-485009.html
Ausgedruckt am: 26.04.2025 um 23:04 Uhr
8 Kommentare
Neuester Kommentar
Nutzt niemand die DNSSEC-Validierung (ich ging sogar nach Anleitung hier im Forum vor) des Windows DNS-Servers und kann mal testen, ob er obige Domain (cdn.valofe.com) mehrmals problemlos auflösen kann? Ich hatte irgendwo noch eine andere CDN-Domain, die ebenfalls Probleme macht, vlt finde ich die ja noch. Hülfe :F.
Hallo Oli,
wir haben bei unserem DNS Server auf Windows Server 2012 R2 scheinbar das gleiche Problem.
Aufgefallen ist es mir z.B. bei static.adobelogin.com
Mit cdn.valofe.com kann ich es aber auch reproduzieren.
Weiter, als dass es am DNSSEC liegt, war ich aber auch noch nicht gekommen. In einer Testumgebung auf einem frisch installieren System kam der Fehler auch im Moment, als ich DNSSEC aktiviert habe.
Mit der Testumgebung bin ich aktuell noch am Experimentieren aber bisher ohne Erfolg.
Grüße
Stefan
wir haben bei unserem DNS Server auf Windows Server 2012 R2 scheinbar das gleiche Problem.
Aufgefallen ist es mir z.B. bei static.adobelogin.com
Mit cdn.valofe.com kann ich es aber auch reproduzieren.
Weiter, als dass es am DNSSEC liegt, war ich aber auch noch nicht gekommen. In einer Testumgebung auf einem frisch installieren System kam der Fehler auch im Moment, als ich DNSSEC aktiviert habe.
Mit der Testumgebung bin ich aktuell noch am Experimentieren aber bisher ohne Erfolg.
Grüße
Stefan
Wenn man die Domains (sind übrigens beides cnames) das erste Mal auflöst, funktioniert es meistens, solange die Ergebnisse im DNS-Cache bleiben, bzw. die TTL abgelaufen ist auch noch danach. Aber nach 2-3 erneuten Abfragen bekommt man dann die SERVFAILs. Bei mir ist auch manchmal die Antwort verkkürzt, dann fehlt bei meiner obigen Resolve-DnsName Abfrage der untere Teil ab "Name : wtxcdn.com". Bin leider kein DNS-Spezi um das weiter aufzudröseln. Ich weiß nur, dass unbound als Resolver auf unserer Firewall das Problem nicht hat.
kann das ganze auch mit aktuellstem neuen Windows Server 2022 verifizieren, auch auf einer neu installierten Test-Instanz im Azure...
Setup ganz einfach, DNS server ohne Forwarder (fragt direkt die root-hints), aktivierung DNSSEC validation:
ab diesen moment werden gewisse "problematische" hostnamen (meist sachen die auf CDNs liegen) nur mehr sporadisch aufgelöst (sondern liefern SERVFAIL)...
betroffene Hostnamen zum stand 29.7.2024:
ich habs jetzt soweit eingegrenzt, das das Problem an den TTLs der jeweiligen Einträge liegt und über die kann das Problem auch teilweise gefixed werden, in dem man den Max-TTL des DNS-Server Caches einschränkt:
...maximal 4min 49sec positiver cache und 15 sek negativ cache, dann gehen die meisten der obigen Hosts wieder einwandfrei...
...ist aber aufgrund der kurzen TTL auch nicht ideal...
...eigentlich muss das ein BUG im Server sein..?
Setup ganz einfach, DNS server ohne Forwarder (fragt direkt die root-hints), aktivierung DNSSEC validation:
ab diesen moment werden gewisse "problematische" hostnamen (meist sachen die auf CDNs liegen) nur mehr sporadisch aufgelöst (sondern liefern SERVFAIL)...
betroffene Hostnamen zum stand 29.7.2024:
- geant.ocsp.sectigo.com
- www.broadcom.com
- client.wns.windows.com
- webservice.clouthenticate.com
- cmd.untangle.com
- ...
ich habs jetzt soweit eingegrenzt, das das Problem an den TTLs der jeweiligen Einträge liegt und über die kann das Problem auch teilweise gefixed werden, in dem man den Max-TTL des DNS-Server Caches einschränkt:
Set-DnsServerCache -MaxTTL 00.00:04:59 -MaxNegativeTtl 00.00:00:15
Set-DnsServerEDns -CacheTimeout 00:04:59...maximal 4min 49sec positiver cache und 15 sek negativ cache, dann gehen die meisten der obigen Hosts wieder einwandfrei...
...ist aber aufgrund der kurzen TTL auch nicht ideal...
...eigentlich muss das ein BUG im Server sein..?
Wir haben genau das Umgedrehte gemacht und bei uns funktioniert alles wie es soll. Wir haben die root-Server-Abfrage komplett deaktiviert und keinerlei Auflösungsprobleme mehr, auch nicht mit den obigen gelisteten.
@ztrewq: habt ihr bei eurem Windows Server (welche version?), DNSSEC Validation aktiv oder nicht??
...weil ich hab grad deine vorgehensweise getested und hab als forwarder die cloudflare dns eingetragen (der auch DNSSEC validation macht) und die root hints deaktiviert... DNSSEC Validation aktiv am host selbst aktiv
und am anfang funktionierts, aber ich hab einen DNS auflösungs check in meinem monitoring, auf die beiden hosts:
und die beginnen nach ca 30 min SERVFAIL zu liefern, aber nur solange DNSSEC Validation aktiv ist.. ...also hat das von dir markierte Setting bei mir keine Relevanz
...weil ich hab grad deine vorgehensweise getested und hab als forwarder die cloudflare dns eingetragen (der auch DNSSEC validation macht) und die root hints deaktiviert... DNSSEC Validation aktiv am host selbst aktiv
und am anfang funktionierts, aber ich hab einen DNS auflösungs check in meinem monitoring, auf die beiden hosts:
- geant.ocsp.sectigo.com
- cmd.untangle.com
und die beginnen nach ca 30 min SERVFAIL zu liefern, aber nur solange DNSSEC Validation aktiv ist.. ...also hat das von dir markierte Setting bei mir keine Relevanz
und hat der forwarder DNSSEC Validation aktiv?
So, grad nochmal probiert und du hast recht mit
gibts bei mir auf einmal wieder nen SERVFAIL. Also hat das Problem doch nicht mit der root-Server-Abfrage zu tun, war wahrscheinlich nurn dummer Zufall. Hatte das damals nicht mehr genau verfolgt. Forwarder macht DNSSEC validation. Der Windows DNS-Server (2019) macht nur die DNSSEC-Validierung für die lokale Domain.
Edit:
spuckt bei mir ganz normal die Host A/AAAA aus. Kein SERVFAIL.
Resolve-DnsName geant.ocsp.sectigo.comgibts bei mir auf einmal wieder nen SERVFAIL. Also hat das Problem doch nicht mit der root-Server-Abfrage zu tun, war wahrscheinlich nurn dummer Zufall. Hatte das damals nicht mehr genau verfolgt. Forwarder macht DNSSEC validation. Der Windows DNS-Server (2019) macht nur die DNSSEC-Validierung für die lokale Domain.
Edit:
Resolve-DnsName geant.ocsp.sectigo.com -server ipfire
