puzzle
Goto Top

Windows Server 2008 R2, Konfigurationsfenster DNS- Weiterleitungen

Konfiguration von externen Weiterleitungen für DNS unter Microsoft Windows Server 2008 R2 Standard zeigt trotz tadelloser Funktion Fehler an.

Folgende Situation:

Microsoft Windows Server 2008 R2 Standard Edition. (VM in ESXi 4)
1 Netzwerkport: IPv6 deaktiviert, Windwos-Firewall aktiviert, fixe IP, DNS zeigt auf sich selber (NICHT 127.0.0.1!).
Server konfiguriert mit den Rollen DC, DHCP, DNS.
VDSL-Bridge mit dahinterliegender Firewall zur Terminierung der PPPoE-Verbindung.

Grundsätzlich ist im laufenden Betrieb kein Problem festzustellen: Alle Clients und Server nutzen DNS problemlos. Und zwar intern wie auch extern.
Um externe Adressen aufzulösen, habe ich in der DNS-Konfiguration vier Internet-DNS Server eingetragen. Die IP-Adressen werden sofort aufgelöst, aber es bleibt ein roter Kreis mit weissem Kreuz, was ja einen Fehler indiziert

3d8ddfccbc5565b88d20a5204ebf4b47

Wie schon erwähnt, funktioniert aber alles im Zusammenhang mit DNS.
Ev. ist dies nur ein Bug, resp. ein kosmetischer Fehler?

Folgende habe ich bereits probiert:
- Hardwarefirewall komplett deaktivieren.
- Windowsfirewall komplett deaktivieren.
- IPv6 aktivieren.
- IP-Adressen der Weiterleitungsserver entfernen, DNS-Server neustarten, IP-Adressen wieder eintragen.
Hat alles keinen Unterschied gemacht.

Google-Suchen, eine Suche hier auf Administrator.de und Recherchen in diversen Fachbüchern haben mich leider nicht weitergebracht.

Bin dankbar für Eure Hilfe.

Content-ID: 196991

Url: https://administrator.de/forum/windows-server-2008-r2-konfigurationsfenster-dns-weiterleitungen-196991.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Ausserwoeger
Ausserwoeger 15.01.2013 um 11:01:07 Uhr
Goto Top
Es gibt da so ein tolles Tool mit dem man seinen DNS auf fehler Prüfen kann von Microsoft. Nennt sich Best Practices Analyzer for Domain Name System.

Dann gibt es da noch http://www.microsoft.com/en-us/download/details.aspx?id=5468
um die Konfiguration zu testen.

Hast du diese tools bereits verwendet ? Wenn ja welche fehler werden protokolliert ? Was steht im Eventlog ?

LG Andy
Dani
Dani 15.01.2013 um 12:05:45 Uhr
Goto Top
Moin,
ach lad uns bitte noch Screenshots von deiner Netzwerkkonfiguration am Server und die Einstellung im DNS-Serer hoch. face-smile

Wer ist dein ISP?


Grüße,
Dani
Puzzle
Puzzle 15.01.2013 um 15:45:27 Uhr
Goto Top
Hallo Ausserwoeger

Danke für den Tipp.
Der Best Practices Analyzer gibt mir drei Fehler aus:
Der Netzwerkadapter LAN-Verbindung listet die IP-Loopbackadresse nicht als DNS-Server auf oder sie ist als erster Eintrag konfiguriert.
--> Die Reihenfolge der DNS-Server in der LAN-Verbindung ist ganz klar: 1. Die gültige IP des Server und 2. 127.0.0.1

Alle in der Liste der Weiterleitungen konfigurierten DNS-Server reagieren nicht.
--> Ja, das ist wohl ein Problem...

Fehler aller Stammhinweise bei einer NS-Abfrage für die Stammzone.
--> Scheint dasselbe Problem wie mit den Weiterleitungen zu sein.


Ausserdem erhalte ich noch zwei Warnungen:
LAN-Verbindung ist nur für die Verwendung des bevorzugten DNS-Servers konfiguriert
--> Richtig, es ist nur der eine DNS (er selbst) eingetragen. In der Umgebung gibt es halt nur einen DNS-Server.

Die Aufräumfunktion ist auf dem DNS-Server deaktiviert.
--> Das verstehe ich nicht. In der primären Forwardlookupzone ist die Alterung aktiviert.


Das DNS-PlugIn für den Microsoft Baseline Configuration Analyzer kann ich leider nicht installieren (Supported Language: EN-US(English-USA) builds only). Habe es natürlich trotzdem probiert, erhalte aber die Fehlermeldung, dass mein System nicht geeignet sei. Eine andere Sprach- oder OS-Version habe ich nicht finden können.
Puzzle
Puzzle 15.01.2013 aktualisiert um 16:08:11 Uhr
Goto Top
Hallo Dani

ISP ist green.ch (Schweiz)

Voilà:

63a276540a66b723d23049bf256fdaa0

2f71b7a5e19e8c3751870b5041688572

9744e43de77b0860317b96b245ba9119

9b4413eb71da9b1c72e6d86ca62d495b
Dani
Dani 15.01.2013 um 15:50:13 Uhr
Goto Top
Moin,
was passiert eigentlich wenn du in der Eingabeaufforderung folgendes eintippst:
nslookup google.de 8.8.8.8
.

Falls das nicht geht versuch noch ein telnet 8.8.8.8 53. Somit ist sichergestellt, dass der Port nicht geblock wird und der DNS-Server erreichbar ist.

Die Reihenfolge der DNS-Server in der LAN-Verbindung ist ganz klar: 1. Die gültige IP des Server und 2. 127.0.0.1
Hmm, eigentlich kannst du den 2. DNS Server leer lassen.


Grüße,
Dani
Puzzle
Puzzle 15.01.2013 aktualisiert um 16:17:31 Uhr
Goto Top
Resultat von nslookup:

google.de 8.8.8.8Server: [8.8.8.8]Address: 8.8.8.8Nicht autorisierende Antwort:Name: google.deAddresses: 2a00:1450:4001:c02::5e 173.194.32.119 173.194.32.120 173.194.32.127

Telnet ist auf dem Server nicht aktiviert. Da die Rückgabe des obigen Befehls meiner Meinung nach ok ist, habe ich es auch nicht damit versucht.


Die Loopback-Adresse als 2. DNS einzutragen ist Empfehlung von Microsoft. Wieso weiss ich auch nicht...
Ausserwoeger
Ausserwoeger 15.01.2013 aktualisiert um 16:19:26 Uhr
Goto Top
Zitat von @Puzzle:
Der Netzwerkadapter LAN-Verbindung listet die IP-Loopbackadresse nicht als DNS-Server auf oder sie ist als erster Eintrag
konfiguriert.

Bedeutet aber das er über die IP 127.0.0.1 keinen DNS server erreichen kann. Firewall Prüfen.
Mit Nslookup bitte eine Testabfrage starten und eine mit angegebenem Server -127.0.0.1

-----------------------------------------------------------------------------------------------------------------
Alle in der Liste der Weiterleitungen konfigurierten DNS-Server reagieren nicht.

Das kennen wir ja schon von den Roten X


-----------------------------------------------------------------------------------------------------------------
Fehler aller Stammhinweise bei einer NS-Abfrage für die Stammzone.

Bitte überprüfe in deinem DNS ob im Ordner _msdcs ein NS Eintrag vorhanden ist und ob dieser auf den richtigen Server zeigt


Ausserdem erhalte ich noch zwei Warnungen:
LAN-Verbindung ist nur für die Verwendung des bevorzugten DNS-Servers konfiguriert

Ist ja auch richtig so man könnte noch den ISP DNS als zweiten eintragen sollte der Interne ausfallen kann man auf den clients noch Surfen. Wenn man den 2 DNS auch im DHCP angibt.


-----------------------------------------------------------------------------------------------------------------
Die Aufräumfunktion ist auf dem DNS-Server deaktiviert.
--> Das verstehe ich nicht. In der primären Forwardlookupzone ist die Alterung aktiviert.

Intressant da wäre die Frage wie dein DNS konfiguriert ist ? Sind Dynamische Updates erlaubt ? Ist es ein AD integrierter DNS ?

Das DNS-PlugIn für den Microsoft Baseline Configuration Analyzer kann ich leider nicht installieren (Supported Language:
EN-US(English-USA) builds only). Habe es natürlich trotzdem probiert, erhalte aber die Fehlermeldung, dass mein System nicht
geeignet sei. Eine andere Sprach- oder OS-Version habe ich nicht finden können.

Egal passt schon.

PS: den Zweiten DNS würd ich rausgeben wenn du schon als ersten die gültige IP eingetragen hast.

LG
Puzzle
Puzzle 15.01.2013 um 16:32:28 Uhr
Goto Top
Testabfrage auf 127.0.0.1 in nslookup:

127.0.0.1Server: server.domain.localAddress: 192.168.30.71Name: localhostAddress: 127.0.0.1

Abfrage auf google.com:

google.comServer: server.domain.localAddress: 192.168.30.71Nicht autorisierende Antwort:Name: google.comAddresses: 2a00:1450:4002:801::1002 173.194.35.0 173.194.35.7 173.194.35.5 173.194.35.9 173.194.35.2 173.194.35.6 173.194.35.8 173.194.35.14 173.194.35.4 173.194.35.3 173.194.35.1


Was meinst Du, ob ein NS-Eintrag in _msdcs ist?
Der Server selbst ist dort eingetragen(fqdn und IP). Ansonsten gibt's dort keine weiteren NS-Einträge. Sollten dort die Stammhinweise hinterlegt sein?


Dynamische Updtates sind erlaubt, DNS und alle Zonen sind AD integriert.


PS:
Hoffe Ihr nehmt mir die Anonymisierung nicht übel. Aber man weiss ja nie...
Ausserwoeger
Ausserwoeger 15.01.2013 um 17:39:25 Uhr
Goto Top
Ne soweit sieht alles gut aus . Im ordner -_mscds muss es nur einen NS eintrag geben das ist ok so.

Die Stammhinweise findest du unter

1.Öffnen Sie den DNS-Manager.

2.Klicken Sie in der Konsolenstruktur auf den entsprechenden DNS-Server.

Position

•DNS/entsprechender DNS-Server


3.Klicken Sie im Menü Aktion auf Eigenschaften.

4.Klicken Sie auf die Registerkarte Stammhinweise


Dort muss der eigene Server eingetragen sein. Sollte aber auch so sein.


Wenn der DNS Server weiter so rumspuckt würde ich sagen du bist schneller wenn die Zonen löscht und neu erstellst bzw. den DNS Server komplett neu machst.

LG Andy
Puzzle
Puzzle 16.01.2013 um 09:31:37 Uhr
Goto Top
@Ausserwoeger:

Danke für die rasche Antwort.

Verstehe ich das richtig: In der Liste der Stammhinweise muss mein eigener DNS-Server auch eingetragen sein?

Bist Du sicher, dass die Löschung und Neuerstellung der Zonen Abhilfe schafft? Die Einstellungen mit den Weiterleitungen und den Stammhinweisen sind doch Serverweit und nicht pro Zone. Oder verstehe ich das falsch?
Ausserwoeger
Ausserwoeger 16.01.2013 um 09:57:06 Uhr
Goto Top
Bitte gerne .

Eigendlich sollte da lt. Microsoft ein Internic server drin stehen:

Hier die infos dazu: http://support.microsoft.com/kb/323380/de

Konfigurieren der Stammhinweise
Windows kann DNS-Stammhinweise verarbeiten. Die Ressourceneinträge für die Stammhinweise können sowohl in Active Directory als auch in einer Textdatei gespeichert werden ("%SystemRoot%\System32\DNS\Cache.dns"). Windows verwendet den standardmäßigen Internic-Stammserver. Wenn ein Server mit Windows Server 2003 einen Stammserver befragt, bezieht er von diesem die aktuelle Stammserverliste.

Wenn die Registerkarte Stammhinweise nicht verfügbar ist, ist der Server immer noch selbst als Stammserver konfiguriert. Weitere Informationen finden Sie im Abschnitt Entfernen der DNS-Stammzone weiter oben in diesem Artikel. Möglicherweise müssen Sie benutzerdefinierte Stammhinweise verwenden, die von den standardmäßig konfigurierten abweichen. Eine Konfiguration, bei der der Server die Stammhinweise von sich selbst bezieht, ist jedoch immer ungültig. Ändern Sie die Stammhinweise daher nicht. Falls die Stammhinweise fehlerhaft sind und erneuert werden müssen, finden Sie weitere Informationen in folgendem Artikel der Microsoft Knowledge Base:
237675


Ich habe gefragt ob da dein eigener Server eingetragen ist weil das zu diesen Problemen führen könnte.

Nein ein sicher bin ich mir da ich den DNS nicht vor mir habe und keine einträge prüfen kann.
Allerdings könnten fehlerhafte Einträge im _mscds auch dazu führen und diesen order und die zonen neu zu erstellen dauert nur 5 min. Somit könnte man das ausschliessen.

LG
Puzzle
Puzzle 16.01.2013 um 11:14:15 Uhr
Goto Top
In den Stammhinweisen ist mein Server nicht zu finden, sondern nur die 13 Rootserver.
Das sollte also ok sein.

Die Zone _msdcs.domain.local habe ich bereits frisch erstellt(inkl. Neustart der Services DNS-Server und Anmeldedienst).
Macht leider keinen Unterschied.
Ausserwoeger
Ausserwoeger 16.01.2013 um 11:57:16 Uhr
Goto Top
OK dann wirds jetzt schwierig ohne das Netzwerk vor mir zu haben.

Was passiert den wenn du die Zeit bis zur Zeitüberschreitung änderst ?

Der DNS-Server wartet standardmäßig fünf Sekunden lang auf eine Antwort von einer Weiterleitungs-IP-Adresse, bevor er eine andere Weiterleitungs-IP-Adresse verwendet. Unter Sek. bis zur Zeitüberschreitung der Weiterleitungsabfragen können Sie die Anzahl der Sekunden ändern, die der DNS-Server abwartet. Wenn der Server es mit allen Weiterleitungen versucht hat, wird eine Standardrekursion versucht.

http://technet.microsoft.com/de-de/library/cc754941.aspx

LG
Puzzle
Puzzle 16.01.2013 um 17:32:52 Uhr
Goto Top
Zeitüberschreitung erhöhen nutzt leider auch nichts. Habe auf 7 Sekunden eingestellt: Gleiches Resultat.
Ausserwoeger
Ausserwoeger 22.01.2013 um 11:51:18 Uhr
Goto Top
Hmm... mir fällt dazu nicht mehr viel ein. Was man noch testen könnte wäre der weg des DNS Servers.

Gibt es das Problem zb. auch wenn man einen anderen Server zum DNS macht und ihn in der umgebung aufstellt?

LG
Puzzle
Puzzle 22.01.2013 um 18:12:22 Uhr
Goto Top
Einen weiteren DNS-Server in der Umgebung aufzustellen ist mir eher zu heikel.

Ich mache mich mal mit Wireshark an das Problem heran. Zurzeit habe ich aber keine freie Kapazität. Ich werde in einiger Zeit mal wieder posten, wie's mir so ergangen ist. Ideen Eurerseits sind natürlich weiterhin herzlich willkommen.

Danke nochmals für Eure Beiträge bisher!