16
Windows Server 2008 R2, Konfigurationsfenster DNS- Weiterleitungen
Konfiguration von externen Weiterleitungen für DNS unter Microsoft Windows Server 2008 R2 Standard zeigt trotz tadelloser Funktion Fehler an.
Folgende Situation:
Microsoft Windows Server 2008 R2 Standard Edition. (VM in ESXi 4)
1 Netzwerkport: IPv6 deaktiviert, Windwos-Firewall aktiviert, fixe IP, DNS zeigt auf sich selber (NICHT 127.0.0.1!).
Server konfiguriert mit den Rollen DC, DHCP, DNS.
VDSL-Bridge mit dahinterliegender Firewall zur Terminierung der PPPoE-Verbindung.
Grundsätzlich ist im laufenden Betrieb kein Problem festzustellen: Alle Clients und Server nutzen DNS problemlos. Und zwar intern wie auch extern.
Um externe Adressen aufzulösen, habe ich in der DNS-Konfiguration vier Internet-DNS Server eingetragen. Die IP-Adressen werden sofort aufgelöst, aber es bleibt ein roter Kreis mit weissem Kreuz, was ja einen Fehler indiziert
Wie schon erwähnt, funktioniert aber alles im Zusammenhang mit DNS.
Ev. ist dies nur ein Bug, resp. ein kosmetischer Fehler?
Folgende habe ich bereits probiert:
- Hardwarefirewall komplett deaktivieren.
- Windowsfirewall komplett deaktivieren.
- IPv6 aktivieren.
- IP-Adressen der Weiterleitungsserver entfernen, DNS-Server neustarten, IP-Adressen wieder eintragen.
Hat alles keinen Unterschied gemacht.
Google-Suchen, eine Suche hier auf Administrator.de und Recherchen in diversen Fachbüchern haben mich leider nicht weitergebracht.
Bin dankbar für Eure Hilfe.
Folgende Situation:
Microsoft Windows Server 2008 R2 Standard Edition. (VM in ESXi 4)
1 Netzwerkport: IPv6 deaktiviert, Windwos-Firewall aktiviert, fixe IP, DNS zeigt auf sich selber (NICHT 127.0.0.1!).
Server konfiguriert mit den Rollen DC, DHCP, DNS.
VDSL-Bridge mit dahinterliegender Firewall zur Terminierung der PPPoE-Verbindung.
Grundsätzlich ist im laufenden Betrieb kein Problem festzustellen: Alle Clients und Server nutzen DNS problemlos. Und zwar intern wie auch extern.
Um externe Adressen aufzulösen, habe ich in der DNS-Konfiguration vier Internet-DNS Server eingetragen. Die IP-Adressen werden sofort aufgelöst, aber es bleibt ein roter Kreis mit weissem Kreuz, was ja einen Fehler indiziert
Wie schon erwähnt, funktioniert aber alles im Zusammenhang mit DNS.
Ev. ist dies nur ein Bug, resp. ein kosmetischer Fehler?
Folgende habe ich bereits probiert:
- Hardwarefirewall komplett deaktivieren.
- Windowsfirewall komplett deaktivieren.
- IPv6 aktivieren.
- IP-Adressen der Weiterleitungsserver entfernen, DNS-Server neustarten, IP-Adressen wieder eintragen.
Hat alles keinen Unterschied gemacht.
Google-Suchen, eine Suche hier auf Administrator.de und Recherchen in diversen Fachbüchern haben mich leider nicht weitergebracht.
Bin dankbar für Eure Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 196991
Url: https://administrator.de/contentid/196991
Ausgedruckt am: 15.11.2024 um 17:11 Uhr
16 Kommentare
Neuester Kommentar
Es gibt da so ein tolles Tool mit dem man seinen DNS auf fehler Prüfen kann von Microsoft. Nennt sich Best Practices Analyzer for Domain Name System.
Dann gibt es da noch http://www.microsoft.com/en-us/download/details.aspx?id=5468
um die Konfiguration zu testen.
Hast du diese tools bereits verwendet ? Wenn ja welche fehler werden protokolliert ? Was steht im Eventlog ?
LG Andy
Dann gibt es da noch http://www.microsoft.com/en-us/download/details.aspx?id=5468
um die Konfiguration zu testen.
Hast du diese tools bereits verwendet ? Wenn ja welche fehler werden protokolliert ? Was steht im Eventlog ?
LG Andy
Moin,
ach lad uns bitte noch Screenshots von deiner Netzwerkkonfiguration am Server und die Einstellung im DNS-Serer hoch.
Wer ist dein ISP?
Grüße,
Dani
ach lad uns bitte noch Screenshots von deiner Netzwerkkonfiguration am Server und die Einstellung im DNS-Serer hoch.
Wer ist dein ISP?
Grüße,
Dani
Hallo Ausserwoeger
Danke für den Tipp.
Der Best Practices Analyzer gibt mir drei Fehler aus:
Der Netzwerkadapter LAN-Verbindung listet die IP-Loopbackadresse nicht als DNS-Server auf oder sie ist als erster Eintrag konfiguriert.
--> Die Reihenfolge der DNS-Server in der LAN-Verbindung ist ganz klar: 1. Die gültige IP des Server und 2. 127.0.0.1
Alle in der Liste der Weiterleitungen konfigurierten DNS-Server reagieren nicht.
--> Ja, das ist wohl ein Problem...
Fehler aller Stammhinweise bei einer NS-Abfrage für die Stammzone.
--> Scheint dasselbe Problem wie mit den Weiterleitungen zu sein.
Ausserdem erhalte ich noch zwei Warnungen:
LAN-Verbindung ist nur für die Verwendung des bevorzugten DNS-Servers konfiguriert
--> Richtig, es ist nur der eine DNS (er selbst) eingetragen. In der Umgebung gibt es halt nur einen DNS-Server.
Die Aufräumfunktion ist auf dem DNS-Server deaktiviert.
--> Das verstehe ich nicht. In der primären Forwardlookupzone ist die Alterung aktiviert.
Das DNS-PlugIn für den Microsoft Baseline Configuration Analyzer kann ich leider nicht installieren (Supported Language: EN-US(English-USA) builds only). Habe es natürlich trotzdem probiert, erhalte aber die Fehlermeldung, dass mein System nicht geeignet sei. Eine andere Sprach- oder OS-Version habe ich nicht finden können.
Danke für den Tipp.
Der Best Practices Analyzer gibt mir drei Fehler aus:
Der Netzwerkadapter LAN-Verbindung listet die IP-Loopbackadresse nicht als DNS-Server auf oder sie ist als erster Eintrag konfiguriert.
--> Die Reihenfolge der DNS-Server in der LAN-Verbindung ist ganz klar: 1. Die gültige IP des Server und 2. 127.0.0.1
Alle in der Liste der Weiterleitungen konfigurierten DNS-Server reagieren nicht.
--> Ja, das ist wohl ein Problem...
Fehler aller Stammhinweise bei einer NS-Abfrage für die Stammzone.
--> Scheint dasselbe Problem wie mit den Weiterleitungen zu sein.
Ausserdem erhalte ich noch zwei Warnungen:
LAN-Verbindung ist nur für die Verwendung des bevorzugten DNS-Servers konfiguriert
--> Richtig, es ist nur der eine DNS (er selbst) eingetragen. In der Umgebung gibt es halt nur einen DNS-Server.
Die Aufräumfunktion ist auf dem DNS-Server deaktiviert.
--> Das verstehe ich nicht. In der primären Forwardlookupzone ist die Alterung aktiviert.
Das DNS-PlugIn für den Microsoft Baseline Configuration Analyzer kann ich leider nicht installieren (Supported Language: EN-US(English-USA) builds only). Habe es natürlich trotzdem probiert, erhalte aber die Fehlermeldung, dass mein System nicht geeignet sei. Eine andere Sprach- oder OS-Version habe ich nicht finden können.
Hallo Dani
ISP ist green.ch (Schweiz)
Voilà:
ISP ist green.ch (Schweiz)
Voilà:
Moin,
was passiert eigentlich wenn du in der Eingabeaufforderung folgendes eintippst:
.
Falls das nicht geht versuch noch ein telnet 8.8.8.8 53. Somit ist sichergestellt, dass der Port nicht geblock wird und der DNS-Server erreichbar ist.
Grüße,
Dani
was passiert eigentlich wenn du in der Eingabeaufforderung folgendes eintippst:
nslookup google.de 8.8.8.8Falls das nicht geht versuch noch ein telnet 8.8.8.8 53. Somit ist sichergestellt, dass der Port nicht geblock wird und der DNS-Server erreichbar ist.
Die Reihenfolge der DNS-Server in der LAN-Verbindung ist ganz klar: 1. Die gültige IP des Server und 2. 127.0.0.1
Hmm, eigentlich kannst du den 2. DNS Server leer lassen.Grüße,
Dani
Resultat von nslookup:
Telnet ist auf dem Server nicht aktiviert. Da die Rückgabe des obigen Befehls meiner Meinung nach ok ist, habe ich es auch nicht damit versucht.
Die Loopback-Adresse als 2. DNS einzutragen ist Empfehlung von Microsoft. Wieso weiss ich auch nicht...
google.de 8.8.8.8Server: [8.8.8.8]Address: 8.8.8.8Nicht autorisierende Antwort:Name: google.deAddresses: 2a00:1450:4001:c02::5e 173.194.32.119 173.194.32.120 173.194.32.127Telnet ist auf dem Server nicht aktiviert. Da die Rückgabe des obigen Befehls meiner Meinung nach ok ist, habe ich es auch nicht damit versucht.
Die Loopback-Adresse als 2. DNS einzutragen ist Empfehlung von Microsoft. Wieso weiss ich auch nicht...
Zitat von @Puzzle:
Der Netzwerkadapter LAN-Verbindung listet die IP-Loopbackadresse nicht als DNS-Server auf oder sie ist als erster Eintrag
konfiguriert.
Der Netzwerkadapter LAN-Verbindung listet die IP-Loopbackadresse nicht als DNS-Server auf oder sie ist als erster Eintrag
konfiguriert.
Bedeutet aber das er über die IP 127.0.0.1 keinen DNS server erreichen kann. Firewall Prüfen.
Mit Nslookup bitte eine Testabfrage starten und eine mit angegebenem Server -127.0.0.1
-----------------------------------------------------------------------------------------------------------------
Alle in der Liste der Weiterleitungen konfigurierten DNS-Server reagieren nicht.
Alle in der Liste der Weiterleitungen konfigurierten DNS-Server reagieren nicht.
Das kennen wir ja schon von den Roten X
-----------------------------------------------------------------------------------------------------------------
Fehler aller Stammhinweise bei einer NS-Abfrage für die Stammzone.
Fehler aller Stammhinweise bei einer NS-Abfrage für die Stammzone.
Bitte überprüfe in deinem DNS ob im Ordner _msdcs ein NS Eintrag vorhanden ist und ob dieser auf den richtigen Server zeigt
Ausserdem erhalte ich noch zwei Warnungen:
LAN-Verbindung ist nur für die Verwendung des bevorzugten DNS-Servers konfiguriert
LAN-Verbindung ist nur für die Verwendung des bevorzugten DNS-Servers konfiguriert
Ist ja auch richtig so man könnte noch den ISP DNS als zweiten eintragen sollte der Interne ausfallen kann man auf den clients noch Surfen. Wenn man den 2 DNS auch im DHCP angibt.
-----------------------------------------------------------------------------------------------------------------
Die Aufräumfunktion ist auf dem DNS-Server deaktiviert.
--> Das verstehe ich nicht. In der primären Forwardlookupzone ist die Alterung aktiviert.
Die Aufräumfunktion ist auf dem DNS-Server deaktiviert.
--> Das verstehe ich nicht. In der primären Forwardlookupzone ist die Alterung aktiviert.
Intressant da wäre die Frage wie dein DNS konfiguriert ist ? Sind Dynamische Updates erlaubt ? Ist es ein AD integrierter DNS ?
Das DNS-PlugIn für den Microsoft Baseline Configuration Analyzer kann ich leider nicht installieren (Supported Language:
EN-US(English-USA) builds only). Habe es natürlich trotzdem probiert, erhalte aber die Fehlermeldung, dass mein System nicht
geeignet sei. Eine andere Sprach- oder OS-Version habe ich nicht finden können.
EN-US(English-USA) builds only). Habe es natürlich trotzdem probiert, erhalte aber die Fehlermeldung, dass mein System nicht
geeignet sei. Eine andere Sprach- oder OS-Version habe ich nicht finden können.
Egal passt schon.
PS: den Zweiten DNS würd ich rausgeben wenn du schon als ersten die gültige IP eingetragen hast.
LG
Testabfrage auf 127.0.0.1 in nslookup:
Abfrage auf google.com:
Was meinst Du, ob ein NS-Eintrag in _msdcs ist?
Der Server selbst ist dort eingetragen(fqdn und IP). Ansonsten gibt's dort keine weiteren NS-Einträge. Sollten dort die Stammhinweise hinterlegt sein?
Dynamische Updtates sind erlaubt, DNS und alle Zonen sind AD integriert.
PS:
Hoffe Ihr nehmt mir die Anonymisierung nicht übel. Aber man weiss ja nie...
127.0.0.1Server: server.domain.localAddress: 192.168.30.71Name: localhostAddress: 127.0.0.1Abfrage auf google.com:
google.comServer: server.domain.localAddress: 192.168.30.71Nicht autorisierende Antwort:Name: google.comAddresses: 2a00:1450:4002:801::1002 173.194.35.0 173.194.35.7 173.194.35.5 173.194.35.9 173.194.35.2 173.194.35.6 173.194.35.8 173.194.35.14 173.194.35.4 173.194.35.3 173.194.35.1Was meinst Du, ob ein NS-Eintrag in _msdcs ist?
Der Server selbst ist dort eingetragen(fqdn und IP). Ansonsten gibt's dort keine weiteren NS-Einträge. Sollten dort die Stammhinweise hinterlegt sein?
Dynamische Updtates sind erlaubt, DNS und alle Zonen sind AD integriert.
PS:
Hoffe Ihr nehmt mir die Anonymisierung nicht übel. Aber man weiss ja nie...
Ne soweit sieht alles gut aus . Im ordner -_mscds muss es nur einen NS eintrag geben das ist ok so.
Die Stammhinweise findest du unter
1.Öffnen Sie den DNS-Manager.
2.Klicken Sie in der Konsolenstruktur auf den entsprechenden DNS-Server.
Position
•DNS/entsprechender DNS-Server
3.Klicken Sie im Menü Aktion auf Eigenschaften.
4.Klicken Sie auf die Registerkarte Stammhinweise
Dort muss der eigene Server eingetragen sein. Sollte aber auch so sein.
Wenn der DNS Server weiter so rumspuckt würde ich sagen du bist schneller wenn die Zonen löscht und neu erstellst bzw. den DNS Server komplett neu machst.
LG Andy
Die Stammhinweise findest du unter
1.Öffnen Sie den DNS-Manager.
2.Klicken Sie in der Konsolenstruktur auf den entsprechenden DNS-Server.
Position
•DNS/entsprechender DNS-Server
3.Klicken Sie im Menü Aktion auf Eigenschaften.
4.Klicken Sie auf die Registerkarte Stammhinweise
Dort muss der eigene Server eingetragen sein. Sollte aber auch so sein.
Wenn der DNS Server weiter so rumspuckt würde ich sagen du bist schneller wenn die Zonen löscht und neu erstellst bzw. den DNS Server komplett neu machst.
LG Andy
@Ausserwoeger:
Danke für die rasche Antwort.
Verstehe ich das richtig: In der Liste der Stammhinweise muss mein eigener DNS-Server auch eingetragen sein?
Bist Du sicher, dass die Löschung und Neuerstellung der Zonen Abhilfe schafft? Die Einstellungen mit den Weiterleitungen und den Stammhinweisen sind doch Serverweit und nicht pro Zone. Oder verstehe ich das falsch?
Danke für die rasche Antwort.
Verstehe ich das richtig: In der Liste der Stammhinweise muss mein eigener DNS-Server auch eingetragen sein?
Bist Du sicher, dass die Löschung und Neuerstellung der Zonen Abhilfe schafft? Die Einstellungen mit den Weiterleitungen und den Stammhinweisen sind doch Serverweit und nicht pro Zone. Oder verstehe ich das falsch?
Bitte gerne .
Eigendlich sollte da lt. Microsoft ein Internic server drin stehen:
Hier die infos dazu: http://support.microsoft.com/kb/323380/de
Konfigurieren der Stammhinweise
Windows kann DNS-Stammhinweise verarbeiten. Die Ressourceneinträge für die Stammhinweise können sowohl in Active Directory als auch in einer Textdatei gespeichert werden ("%SystemRoot%\System32\DNS\Cache.dns"). Windows verwendet den standardmäßigen Internic-Stammserver. Wenn ein Server mit Windows Server 2003 einen Stammserver befragt, bezieht er von diesem die aktuelle Stammserverliste.
Wenn die Registerkarte Stammhinweise nicht verfügbar ist, ist der Server immer noch selbst als Stammserver konfiguriert. Weitere Informationen finden Sie im Abschnitt Entfernen der DNS-Stammzone weiter oben in diesem Artikel. Möglicherweise müssen Sie benutzerdefinierte Stammhinweise verwenden, die von den standardmäßig konfigurierten abweichen. Eine Konfiguration, bei der der Server die Stammhinweise von sich selbst bezieht, ist jedoch immer ungültig. Ändern Sie die Stammhinweise daher nicht. Falls die Stammhinweise fehlerhaft sind und erneuert werden müssen, finden Sie weitere Informationen in folgendem Artikel der Microsoft Knowledge Base:
237675
Ich habe gefragt ob da dein eigener Server eingetragen ist weil das zu diesen Problemen führen könnte.
Nein ein sicher bin ich mir da ich den DNS nicht vor mir habe und keine einträge prüfen kann.
Allerdings könnten fehlerhafte Einträge im _mscds auch dazu führen und diesen order und die zonen neu zu erstellen dauert nur 5 min. Somit könnte man das ausschliessen.
LG
Eigendlich sollte da lt. Microsoft ein Internic server drin stehen:
Hier die infos dazu: http://support.microsoft.com/kb/323380/de
Konfigurieren der Stammhinweise
Windows kann DNS-Stammhinweise verarbeiten. Die Ressourceneinträge für die Stammhinweise können sowohl in Active Directory als auch in einer Textdatei gespeichert werden ("%SystemRoot%\System32\DNS\Cache.dns"). Windows verwendet den standardmäßigen Internic-Stammserver. Wenn ein Server mit Windows Server 2003 einen Stammserver befragt, bezieht er von diesem die aktuelle Stammserverliste.
Wenn die Registerkarte Stammhinweise nicht verfügbar ist, ist der Server immer noch selbst als Stammserver konfiguriert. Weitere Informationen finden Sie im Abschnitt Entfernen der DNS-Stammzone weiter oben in diesem Artikel. Möglicherweise müssen Sie benutzerdefinierte Stammhinweise verwenden, die von den standardmäßig konfigurierten abweichen. Eine Konfiguration, bei der der Server die Stammhinweise von sich selbst bezieht, ist jedoch immer ungültig. Ändern Sie die Stammhinweise daher nicht. Falls die Stammhinweise fehlerhaft sind und erneuert werden müssen, finden Sie weitere Informationen in folgendem Artikel der Microsoft Knowledge Base:
237675
Ich habe gefragt ob da dein eigener Server eingetragen ist weil das zu diesen Problemen führen könnte.
Nein ein sicher bin ich mir da ich den DNS nicht vor mir habe und keine einträge prüfen kann.
Allerdings könnten fehlerhafte Einträge im _mscds auch dazu führen und diesen order und die zonen neu zu erstellen dauert nur 5 min. Somit könnte man das ausschliessen.
LG
In den Stammhinweisen ist mein Server nicht zu finden, sondern nur die 13 Rootserver.
Das sollte also ok sein.
Die Zone _msdcs.domain.local habe ich bereits frisch erstellt(inkl. Neustart der Services DNS-Server und Anmeldedienst).
Macht leider keinen Unterschied.
Das sollte also ok sein.
Die Zone _msdcs.domain.local habe ich bereits frisch erstellt(inkl. Neustart der Services DNS-Server und Anmeldedienst).
Macht leider keinen Unterschied.
OK dann wirds jetzt schwierig ohne das Netzwerk vor mir zu haben.
Was passiert den wenn du die Zeit bis zur Zeitüberschreitung änderst ?
Der DNS-Server wartet standardmäßig fünf Sekunden lang auf eine Antwort von einer Weiterleitungs-IP-Adresse, bevor er eine andere Weiterleitungs-IP-Adresse verwendet. Unter Sek. bis zur Zeitüberschreitung der Weiterleitungsabfragen können Sie die Anzahl der Sekunden ändern, die der DNS-Server abwartet. Wenn der Server es mit allen Weiterleitungen versucht hat, wird eine Standardrekursion versucht.
http://technet.microsoft.com/de-de/library/cc754941.aspx
LG
Was passiert den wenn du die Zeit bis zur Zeitüberschreitung änderst ?
Der DNS-Server wartet standardmäßig fünf Sekunden lang auf eine Antwort von einer Weiterleitungs-IP-Adresse, bevor er eine andere Weiterleitungs-IP-Adresse verwendet. Unter Sek. bis zur Zeitüberschreitung der Weiterleitungsabfragen können Sie die Anzahl der Sekunden ändern, die der DNS-Server abwartet. Wenn der Server es mit allen Weiterleitungen versucht hat, wird eine Standardrekursion versucht.
http://technet.microsoft.com/de-de/library/cc754941.aspx
LG
Zeitüberschreitung erhöhen nutzt leider auch nichts. Habe auf 7 Sekunden eingestellt: Gleiches Resultat.
Hmm... mir fällt dazu nicht mehr viel ein. Was man noch testen könnte wäre der weg des DNS Servers.
Gibt es das Problem zb. auch wenn man einen anderen Server zum DNS macht und ihn in der umgebung aufstellt?
LG
Gibt es das Problem zb. auch wenn man einen anderen Server zum DNS macht und ihn in der umgebung aufstellt?
LG
Einen weiteren DNS-Server in der Umgebung aufzustellen ist mir eher zu heikel.
Ich mache mich mal mit Wireshark an das Problem heran. Zurzeit habe ich aber keine freie Kapazität. Ich werde in einiger Zeit mal wieder posten, wie's mir so ergangen ist. Ideen Eurerseits sind natürlich weiterhin herzlich willkommen.
Danke nochmals für Eure Beiträge bisher!
Ich mache mich mal mit Wireshark an das Problem heran. Zurzeit habe ich aber keine freie Kapazität. Ich werde in einiger Zeit mal wieder posten, wie's mir so ergangen ist. Ideen Eurerseits sind natürlich weiterhin herzlich willkommen.
Danke nochmals für Eure Beiträge bisher!
