none
Nach Creators Update: DNS Anfragen werden dupliziert (replizierbar auf 3 PCs). RRS feed

  • Frage

  • Problem: Nach dem Update konnte ich feststellen, dass DNS Anfragen unnötig repliziert werden, obwohl Sie zeitnah vom lokalem DNS Server beantwortet werden. Dieses Verhalten ist für 3 unabhängige PCs (nach dem Update) replizierbar.

    Nachfolgend zwei Beispiele (lokaler DNS: 192.168.2.101, DNS von Google: 8.8.8.8) dargestellt in Wireshark (Client IP: 192.168.2.101).

    1)

    2)

    3) caused by svhost:

    Mir stellt sich die Frage, ob das ein "Feature" ist oder ein Bug. Falls es ein neues optionales Feature ist, möchte ich das gerne Abstellen !!!

    Ich hoffe hier auf kompetente Hilfe.

    Grüße,

    David Kracht

    Edit: Das Problem ist nicht an einen bestimmten Web-Browser gekoppelt, sondern besteht auch beim Aufruf der Windows-Resourcen direkt durch den Prozess svchost:




    • Bearbeitet Dave Kracht Montag, 15. Januar 2018 19:12 bilder
    Dienstag, 9. Januar 2018 18:41

Alle Antworten

  • Moin,

    ja, das nennt sich "Smart Multi-Homed Name Resolution" und besteht darin, dass jede DNS Query über alle verfügbaren Interfaces ausgesendet wird und der erste Reply, der zurück kommt, wird genommen. Jeder, der dachte, DNS Spoofing sei langsam tot, kann aufatmen ;-)

    Ausschalten geht wie folgt:

    Achtung! Auf einem deutschen Windows heißen die Einträge gleich, schreiben aber unterschiedliche Registry Keys ;-)


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 9. Januar 2018 19:18
  • Dankeschön für die prompte Antwort. Über dieses Setting bin ich beim Googlen auch schon öfters gestoplert, hab es aber wegen der doch so verklausulierten Beschreibung dann doch ignoriert, da ...

    "Wenn Sie diese Richtlinieneinstellung aktivieren, führt der DNS-Client keine Optimierung durch.  DNS-Abfragen werden zuerst an alle Netzwerke ausgegeben. Wenn die DNS-Abfragen nicht erfolgreich sind, werden LLMNR-Abfragen ausgegeben. Sollten diese nicht erfolgreich sein, werden NetBT-Abfragen ausgegeben."

    Also ich folgere, das wenn ich "Multicastauflösung" deaktiviere, dann sollten die DNS-Abfragen nicht verteilt werden. Dies steht aber anders in der Beschreibung zur Richtlinie.

    Naja, ich werd's ausprobieren.

    Ich frage mich nur, warum dieses Verhalten vor dem Updaten nicht da war. Aber vielleicht hat das Update irgendwelche Einstellungen in meinem Netzwerk wieder zurückgesetzt.





    • Bearbeitet Dave Kracht Dienstag, 9. Januar 2018 20:14 typo
    Dienstag, 9. Januar 2018 20:11
  • leider ändert das "Aktivieren" der Richtlinie (auch nach Neustart) nichts an den DNS-Request-Doubletten: zwei Requests innerhalb von 3ms, obwohl die Antwort nach 13ms von meinem DNS server kommt. Beide Request tragen die gleiche ID und werden im Serverlog verzeichnet.

    Für mich sieht es fast so aus, wie wenn die Wartezeit (Timeout) auf 0 gesetzt ist.

    siehe imgur.com/a/pqesY

    Vielleicht noch eine andere Idee, wie ich dem Problem auf die Schliche kommen kann ?

    • Bearbeitet Dave Kracht Dienstag, 9. Januar 2018 20:47 typo
    Dienstag, 9. Januar 2018 20:39
  • Hallo Dave,

    leider eine sehr späte Antwort, aber vielleicht hilft sie dir ja weiter.

    Ich hatte auch das Problem, dass in meinem PiHole DNS Server ständig von allen Windows 10 Clients doppelte DNS queries ankamen. (Neuerdings werden die als "retried" gekennzeichnet.)

    Des Rätsels Lösung: Mein DHCP Server (Fritzbox) versendet nur eine DNS Server IP Adresse an die Clients. Sobald ein Windows 10 Client nur einen einzigen DNS Server hinterlegt hat, scheint der DNSCache Dienst von Windows die Anfragen doppelt zu senden. Vermutlich ein bug in der Prüfroutine, um festzustellen welcher DNS Server noch "lebt".

    Trägt man nun einfach manuell an den Windows Clients zwei DNS Server ein (der zweite kann auf eine tote lokale IP Adresse zeigen), sehe ich im PiHole DNS keine doppelten Anfragen mehr von den Windows Clients.

    Alternativ kann man auch den Windows DNSCache Dienst per Registry dauerhaft deaktivieren. Dann kommen auch keine doppelten queries mehr an, allerdings funktionieren dann einige Dinge nicht mehr (z.B. adhoc Interface durch Wireguard Client erzeugen, oder auch die Namensauflösung in WSL).

    Viele Grüße.

    Montag, 4. Januar 2021 02:43
  • Das mit den Multicast-DNS ist schon lange so. Ins besonders wenn man per VPN zusätzlich verbunden ist.
    Das VPN antwortet meist schneller auf DNS-Abfragen und liefert mir dann u.U. sogar falsche IP's.
    Bei einem Kunden-VPN z.B. liefert mir jede DNS-Abfrage auf irgendeinen Server auch außerhalb des VPN's immer eine IP aus dem VPN.
    Nur wenn ich die IP direkt verwende, klappt die Verbindung.

    Seit Einführung der box-Domains kann ich per "fritz.box" meine lokale Fritzbox nicht  mehr erreichen, da mir das VPN schneller eine Antwort liefert und eine gültige, aber nicht erreichbare, IP meldet. Hier kann ich mich nur noch per IP direkt verbinden.

    Montag, 4. Januar 2021 07:15
  • Nein, wie der Thread-Ersteller schon geschrieben hat, tritt dieses Verhalten auch auf, wenn man per gpedit Multicast DNS deaktiviert hat. Außerdem gibt es in meinem Netzwerk nicht zwei Windows PCs, die gleichzeitig an sind.
    Montag, 4. Januar 2021 10:57
  • "Außerdem gibt es in meinem Netzwerk nicht zwei Windows PCs, die gleichzeitig an sind."

    Das musst du mir mal näher erklären. Wozu ein Netzwerk, wenn immer nur ein PC aktiv ist;-)?
    Mein PC ist ja auch nur einer, hängt aber an der Fritz.box als Router.
    Wenn ich ein VPN zum Kunden aufmache und einen "ping meincomputer" absetze, bekomme ich eine IP aus dem VPN-Netzwerk.
    Nun starte ich eine VM und verbinde mich mit dem Kunden via VPN.
    Die VM bekommt nun zusätzlich eine IP aus dem VPN zugewiesen.
    Die VM kann per IP immer noch den Host, also meinen Computer, erreichen.
    Mache ich aber einen "ping meinhost" bekomme ich irgendeine IP aus dem VPN, mit der ich den Host, den das VPN ja nicht kennen kann, aber nicht erreiche.
    Als DNS-Server ist aber sowohl meine Fritzbox als auch ein DNS-Server aus dem VPN eingetragen. Nun antwortet wohl das VPN schneller als meine lokale Fritzbox, somit bekomme ich eine ungültige IP statt "Ziel unbkannt".
    Letzteres hätte dann durch den Broadcast zur korrekten IP aus der Fritzbox geführt.

    Die frühere Möglichkeit, DNS-Server zu priorisieren, funktioniert ja nun leider nicht mehr.
    Lösen kann ich das im Moment nur mit der HOSTS, da die bevorzugt behandelt wird. Nur ist das wieder sehr mühsam, da die HOSTS kaum noch bearbeitet werden kann.

    Montag, 4. Januar 2021 12:34
  • Gerne erkläre ich dir das: Es gibt noch andere Betriebssysteme als Windows. Wer hätte das gedacht?

    Dein Problem ist recht speziell und hat imho nichts mit der Fragestellung des Thread-Ersteller zu tun. Aber zu deinem Problem: Ich kenne Roadwarrior VPN Vernindungen nur so, dass man dem remote Client auch einen DNS Server (meist der aus dem Firmennetzwerk) pusht. D.h. alle DNS queries werden an diesen gesendet. Man kann das natürlich selbst anders konfigurieren und seine eigene lokale Domain, ggf. auch nur einzelne Hosts an seinen eigenen privaten DNS Server deligieren/weiterleiten (in deinem Fall .box Domain).  Wenn sich auch noch die Subnetze deines privaten LAN und die gepushten aus dem Firmen VPN überschneiden, haste sowieso ein Problem.

    Montag, 4. Januar 2021 15:20
  • Danke für die Erklärung deiner Aussage. Mein Focus bezog sich eher auf PC als auf Windows;-).
    Montag, 4. Januar 2021 15:29