none
DNS Server não resolve consultas externas.

    Question

  • Boa tarde todos,

    Estou com um problema que não consigo sanar. O Dns server tenta responder as consultas externas sem repassar a solicitação para os forwarders, o que logicamente não consegue. Para contornar a situação, eu configurei um DNS secundário (8.8.8.8 google) no DHCP. Agora, pelo menos, eu consigo que os clientes da rede saiam para a internet. O problema é que ocorre uma demora de alguns segundos até que a resolução de nome ocorra, já que o DNS Server primário tenta resolver a consulta, não consegue, e então o DNS secundário (8.8.8.8) resolve a consulta sem problemas...

    O estranho é que o DNS server não repassa as consultas externas para os fowarders.

    Rodei o Wireshark e é exatamente isso que acontece...o server tenta resolver a consulta e aparece essa mensagem (Standard Query Response, Server Failure)...

    Qualquer site externo que eu ou qualquer cliente da rede acesse aparece essa mensagem e logo depois o DNS secundário resolve o nome e o site é acessado.

    Já reiniciei o serviço DNS, conferi que os fowarders estão configurados corretamente, já deletei todos os fowarders para que os root hints resolvessem os nomes e nada. O firewall nesse server esta desabilitado e o tráfego DNS porta 53 não está sendo bloqueado para saída.

    Qualquer ajuda será muito bem vinda.

     

    Obrigado,

     

    Monday, October 25, 2010 8:01 PM

Answers

  • Tenta do seu servidor dar um nslookup utilizando o server 8.8.8.8 (Google), se funcionar coloca ele como Encaminhador DNS (Forwarders).
    Se tiver selecionado para não utilizar recursão, retire a seleção.

    Verifica na primeira aba do seu dns (Interfaces) se esta listado para todos os IPs. (All IP Addresses).

    Verifica se estao cadastrados os Root Hints.

    Advanced verifica se está desabilitado recursion, se tiver selecionado esse botão retira o checkbox selecionado.

    Na aba de monitoração executa teste simples e recursiva e manda realizar teste.

    Event Logging habilita todos os eventos.

    Habilita os logs do Debbuging, realiza testes (15 minutos) e desabilita novamente.

    Abs,


    Luís Antônio
    Friday, November 05, 2010 1:07 AM

All replies

  • Tiago,

     

    Na propiedades do DNS, na aba Avançado veja se a opção "desativar recursividade" esta habilitada, se sim desabilita.

    Veja os DNS configurados no seu encaminhadores estao respondedo consultas, use o nslookup


    MCP-W2K3/MCDST/MCSA SE A RESPOSTA FOR UTIL, CLASSIFIQUE-A!
    Monday, October 25, 2010 8:13 PM
  • Olá Tiago

    alem da dica do Gustavo vê se está configurada uma zona raiz (root zone) na sua lista de servidores raiz. é simplesmente um ponto " . "

    se existir pode tirar essa zona.

    Essa zone é usado na verdade para não deixar os usuários acessarem a internet. É usada também em conjunto com conditional forwarding ( que é um tipo de redirecionamento seletivo).

    Abraço, Nassim

    Monday, October 25, 2010 9:05 PM
  • Boa noite Tiago,

    só para esclarecer, o DNS Secundário só é utilizado caso o DNS Primário esteja indisponível, ou seja, ele não faz uma "segunda" query após o primeiro tentar e não conseguir. Ele só usado caso ocorra indisponibilidade de comunicação com o DNS Primário.

    O que pode estar ocorrendo é uma falha na resolução de nomes com o seu DNS Primário, não só para endereços externos, mas também para a zona de nomes local.

    Se vc tentar pingar algum servidor do seu domínio pelo FQDN, por exemplo, vc consegue?

    Ex: "ping meuservidor.dominio.local"

    Teste a resolução de nomes local e veja se está tudo OK.

    Outra coisa, a consulta iterativa feita pelo DNS Server aos servidores Root Hints é encaminhada para o Default Gateway do seu DNS Server, ou seja, se o seu DNS Server não estiver conseguindo acessar corretamente a Internet, as consultas dos Root Hints não funcionará.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    Monday, October 25, 2010 9:09 PM
  • Gustavo,

    Essa opção está desmarcada.

    Obrigado!

    Monday, October 25, 2010 9:31 PM
  • Nassim,

    Na lista de Root Hints não consta o "." (zona root)... estão todos lá do A ao M....

    Obrigado mesmo assim!

    Monday, October 25, 2010 9:33 PM
  • Fabiano,

    É verdade, o DNS  Secundário não deveria responder consultas, a menos que o DNS Primário estiver Offline!

    Eu consigo resolver nomes internos (FQDN).

    O DNS secundário está resolvendo os nomes externos, e isso quem está dizendo é o Wireshark... 

    Coloquei o DNS do OpenDns como DNS Secundário e ele resolve os nomes externos, enquanto que o Tiger (meu servidor DNS primário,DC, Exchange Server) não consegue.

    O log do Wireshark é mais ou menos assim, depois que eu tento acessar www.google.com:

    Source                              Destination                   Protocol    Info

    W702.meudominio.local     Tiger.meudominio.local  DNS      Standard Query A www.google.com

    Tiger.meudom.local  W702.meudom.local      DNS        Standard query response, Server Failure

    " " " "

    umas duas vezes mais.... ele tenta, tenta e não resolve o nome.... aí entra o DNS secundário...

    resolver1.opendns.com  w702.meudom.local         DNS    Standard query response CNAME A  65.55.21.250

    e ai começa a resolver vários subdomínios do google... e abre a página no IE.

    Tudo que for Source = resolver1.opendns.com resolve os nomes...

    Tudo que for Sorce = Tiger.meudominio.local ....não resolve. 

    Eu estou achando que o problema não é de configuração e sim de derepente algum arquivo corrompido do DNS?!?!?! Porque ele não está encaminhando as consultas para os ips configurados na aba FOWARDERS!!!!

     

    Alguma outra sugestão?

    Obrigado!

    Monday, October 25, 2010 10:00 PM
  • Fala Tiago,

    faz o seguinte:

    Retire qualquer IP da aba Fowarders, e mantenha a recursividade HABILITADA. Faça um novo teste.

    É possível disponibilizar o .cap do Wireshark na Internet para darmos uma olhada?

    É interessante que mostre todo o tráfego, desde a query DNS até a resposta do servidor Web depois que ele consegue resolver o nome e acessar.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    Monday, October 25, 2010 10:06 PM
  • Fala Fabiano,

     

    Recursividade habilitada (não está checado), retirei os ips da aba Fowarders, limpei o cache dns do Server e do Cliente (W702).

    Abri alguns sites (microsoft.com, google.com, hotmail.com e technet.com) gravei o .pcap e fiz o upload no megaupload.

    http://www.megaupload.com/?d=Q19LSW0R

    Obrigado!

    Monday, October 25, 2010 10:49 PM
  • Bom dia Fabiano!

    Conseguiu dar uma olhada no .cap do Wireshark?

    Eu estou com a idéia de passar o meu DNS para um outro servidor que temos aqui, assim eu saberia se o problema é do DNS "itself" ou é algum problema de configuração mesmo. O que vc acha?

    O outro server que eu tenho é um Server 2008 R2 Standard, é um member server, e é utilizado somente como o Servidor que abriga o ERP da empresa.

    Eu já habilitei Zone transfer nos dois servers e  a transferência foi bem sucedida...eles estão sincronizados. Configurei o segundo Server (192.168.0.110) como Zona Secundária. O próximo passo seria eu inverter as zonas? O Servidor que apresenta problema na resolução de nomes externos (192.168.0.100) passar a ser a zona secundária, e o novo servidor DNS passar a ser a zona primária do meu domínio?

    Você acha que essa tentativa é válida?

    OS - Sendo um SBS2003, existe alguma restrição quanto ao DNS precisar estar vinculado ao mesmo?

    Existi a possibilidade de dar algum problema no AD e conseqüentemente os usuários não conseguirem mais se autenticar/acharem os recursos da rede?

    Obrigado!

     

     


    Tuesday, October 26, 2010 11:49 AM
  • Fala Tiago,

    analisei o seu dump. Está estranho. Ele dá failure para todas as querys.

    O 192.168.0.100 é o seu DC+DNS, certo????

    O que mostra alí é uma outra query feita a um servidor OpenDNS, essa sim retorna resposta.

    "Printa" para a gente as telas de configuração do seu DNS, é possível? Configurações avançadas do servidor, propriedades da zona, etc. Talvez tenha alguma configuração que estejamos ignorando...

    Vc chegou a fazer o teste que eu te falei, para confirmar se o DNS local realmente está acessando a Internet sem problema?

    Vc pode fazer um teste de PING, por exemplo: "ping 8.8.8.8"

    Isso a partir do DNS local...

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    Tuesday, October 26, 2010 3:43 PM
  • Fala Fabiano!

    Obrigado pela análise!

    Isso mesmo, o Server que estamos analisando é do DC, o DNS, Exchange Server, DHCP e File Server.

    Tem somente uma interface de rede:

    IP: 192.168.0.100/24 

    GW: 192.168.0.254

    DNS Primário: 192.168.0.100

    DNS Secundário: 208.67.222.222 (OpenDns) (foi a solução que encontrei para que ele e os clientes da rede pudessem sair para a Internet, sem essa entrada, eles simplesmente não resolvem nomes externos - com ou sem forwarders configurado no DNS console)

    O que acontece é exatamente o que o Dump do Shark mostra... Se eu deixar o Servidor apenas com o DNS primário configurado (apontando para ele mesmo), nenhuma query externa é resolvida. Ele não está repassando a consulta para os Fowarders.

    Agora, se eu configurar um DNS Secundário, aí sim o Server consegue sair para a Internet, mas não antes de perder alguns segundos tentando resolver a consulta com o DNS Primário! o que retarda em uns 2 segundos até que a página comece a ser transferida seja lá qual for o Endereço solicitado.

    O estranho é que esse server está de pé há mais de 3,5 anos e nunca deu isso antes! Quando vc me disse para verificar se ele está resolvendo nomes internamente, me deu até calafrios! Ainda bem que está, pelo menos por enquanto...

    Eu vou fazer um pacote com printscreens e posto logo mais!

     

    Obrigado novamente!

     

    Tuesday, October 26, 2010 5:23 PM
  • Ainda bem que a consulta interna está OK, menos um problema...

    Vc conseguiu um paliativo para o problema, e isso é muito bom. Agora temos que resolver o problema efetivamente, pois realmente como vc falou, aguardar as querys inválidas para depois efetuar a certa não dá, seus hosts vão demorar demais para utilizar serviços na Web, e não só navegação...atualização do Windows, atualização de antivírus, atualização de outros softwares instalados na máquina, enfim...

    Vou aguardar o pacote dos prints para continuarmos analisando...abs !

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    Tuesday, October 26, 2010 7:28 PM
  • Olá Tiago.

    Alguma novidade sobre o problema?

     

    Abraço.

     


    Richard Juhasz
    Thursday, October 28, 2010 4:08 PM
  • Desculpa a demora, é que eu estive bem ocupado esses últimos dias por conta de auditoria na empresa...

    A questão do DNS continua igual, ou seja, está funcionando de modo "paliativo"... 

    Eu irei postar os printscreens mostrando as configurações dele, porém, vocês logo irão perceber que as configurações estão praticamente padrão

    Por isso estou desanimado, não consegui resolver o problema de forma efetiva.

    Agora, vocês acham que seria válido eu transferir o serviço de DNS para um segundo servidor (Server 2008 R2) e quando o segundo assumisse como zona primária do Domínio eu remove-se e reinstalasse o serviço DNS no meu DC que apresenta problemas?

    Também pensei em instalar o DNS role no Server 2008 R2  e deixá-lo como CACHE ONLY, e então eu encaminharia todas as consultas externas para esse server. O problema é que o DNS, do servidor que apresenta o problema discutido nesse post, parece não estar encaminhando as consultas para os encaminhadores configurados na guia FORWARDERS.

    Obrigado pela ajuda e desculpa pela demora na atualização do post.

     

    Thursday, November 04, 2010 1:05 PM
  • Boa noite Tiago,

    eu particularmente acho que qualquer mudança dessa ser feita, somente após validarmos o atual servidor.

    Vou aguardar todos prints para analisarmos juntos.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    Thursday, November 04, 2010 9:29 PM
  • Tenta do seu servidor dar um nslookup utilizando o server 8.8.8.8 (Google), se funcionar coloca ele como Encaminhador DNS (Forwarders).
    Se tiver selecionado para não utilizar recursão, retire a seleção.

    Verifica na primeira aba do seu dns (Interfaces) se esta listado para todos os IPs. (All IP Addresses).

    Verifica se estao cadastrados os Root Hints.

    Advanced verifica se está desabilitado recursion, se tiver selecionado esse botão retira o checkbox selecionado.

    Na aba de monitoração executa teste simples e recursiva e manda realizar teste.

    Event Logging habilita todos os eventos.

    Habilita os logs do Debbuging, realiza testes (15 minutos) e desabilita novamente.

    Abs,


    Luís Antônio
    Friday, November 05, 2010 1:07 AM
  • Tiago,

    novidades a respeito?

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    Monday, November 08, 2010 8:29 AM
  • Fabiano,

    O problema estava no SRV RECORD...aparentemente corrompido... foi preciso deleta-lo e recriar um novo.

    Após isso tudo voltou a funcionar... o DNS voltou a encaminhar as consultas não resolvidas por ele para os servidores listados na guia FORWARDERS.

    Queria agradecer a ajuda de todos que ajudaram a afunilar o problema e chegar a solução!

    Dia 11-01-2011 fiz meu primeiro exame na Microsoft 70-642 (Infraestrutura de Rede) e passei.. Estou aguardando o meu ID da Micro...

    Valeu pela força e desculpa pela demora!

     

    Abs,

    Thursday, January 13, 2011 1:31 PM
  • Só mais um detalhe...  Eu só desconfiei do SRV RECORD quando eu fui inserir um computador no domínio e não consegui...dava uma mensagem que o controlador de dominio não pode ser encontrado... Aí eu tentei inserir o computador usando um nome NETBIOS\pré WINDOWS 2000 e ingressou....

    Abs,

    Thursday, January 13, 2011 1:38 PM
  • Oi Tiago, desculpe a ignorancia cara... mas quando vc fala SRV RECORD vc diz o record do tipo A ? Onde entram o nome do servidor e o ip local dele ?

    To com o mesmo problema aqui.... tah brabo pra resolver.

     

    Abração !!

    Friday, January 14, 2011 1:58 PM
  • Não cara o A RECORD aponta um nome DNS para um IP... pode ser clientes,servers, printers.... Agora o SRV RECORD aponta para um "serviço e suas respectivas portas" - São os serviços fornecidos pelo DC...

    O que eu fiz foi deletar as partições de diretório de aplicativos do DNS SERVER - DOMAINDNSZONES e FORESTDNSZONES e depois eu recriei clicando com o direito do mouse no DNS server e escolhendo CRIAR PARTIÇÕES PADRÃO DE DIRETORIO DE APLICATIVOS.

    Então na DOMAINDNSZONES e FORESTDNSZONES assim como nas pastas abaixo _MSDCS, _SITES, _TCP, _UDP,  - eu verifiquei todos os SRV RECORDS - comparando com um de um ambiente virtual que eu simuleii um domínio igual ao do ambiente de produção....

    Deu certo!

     

    Abs,


    Tiago.S.R
    Friday, January 14, 2011 2:31 PM
  • Blz, cara ! Vou tentar aqui, valeu !

     

    Abraço !

    Friday, January 14, 2011 3:58 PM
  • Olá Tiago (and All).

    Aqui tenho 2 Servers 2k8 R2 x64.

    rede 10.14.0.0 255.255.240.0

    No servidor "principal" (10.14.0.10) o DNS apresente o mesmo comportamento descrito aqui, já meu servidor "secundário" (10.14.0.12) funciona corretamente, e por isso ta tudo funcionando "legal".

    Mas preciso agir preventivamente e resolver o problema para não parar a rede em alguma infeliz surpresa.

    Como não tenho um profundo conhecimento, gostaria de me certificar sobre o que devo fazer, e suas consequencias. Se eu entendi direito

     

    No console de DNS, no servidor que tenho problema, devo ir em :

    SERVER/Zonas de pesquisa direta/_msdcs.dominio.local e excluir

    SERVER/Zonas de pesquisa direta/dominio.local e excluir

    SERVER/Zonas de pesquisa Inversa/_msdcs.dominio.local e excluir

    SERVER/Zonas de pesquisa Inversa/dominio.local e excluir

     

    E depois disso ir em SERVER  com o botao direito e "Criar partições padrão de diretório de aplicativos?

    Isso vai recriar minha zona primaria para dominio.local?

     

    Peço desculpas se a pergunta parece básica ou estúpida, mas em se tratando de DNS com AD, sou bastante inseguro.

     

    Att.

     

    Argeu Thiesen

     

     


    Argeu Carlos Thiesen - CINF-CEART
    Tuesday, March 15, 2011 12:27 PM