none
kuriose DNS-Auflösung RRS feed

  • Frage

  • Hallo zusammen,

    ich habe eine etwas seltsame Situation mit unseren DNS-Servern (alles DCs). Hier kurz der Aufbau:

    • wir haben einen zentralen und mehrere Außenstandorte
    • jeder Standort verfügt über 2 DCs, die auch DNS-Server sind
    • es existieren keine Forwarder
    • die Standard-Stammhinweise werden verwendet
    • firewalltechnisch können nur die DCs am Hauptstandort DNS-Anfragen ins Internet stellen
      (suboptimal, leider aber momentan nicht zu ändern)
    • Clients an den Standorten verwenden ihre lokalen DCs als DNS-Server

    Normalerweise dürfte eine Namensauflösung von z.B. google.de in den Außenstandorten ja nicht funktionieren. Die DCs dürfen nicht ins Internet und weil keine Forwarder zur Zentrale eingetragen sind, sehen sie die beiden DCs in der Zentrale nicht als hierarchisch übergeordnet an.

    Der Witz ist folgender: Wenn ich ein nslookup oder dig auf den DCs an den Außenstandorten auf google.de mache kann ich das nachstellen. Es wird versucht die Stammhinweise abzufragen -> Timeout. ABER ich kann ohne Probleme surfen, oder einen Ping auf google.de ausführen.

    Meine Frage: Wie funktioniert das? Woher kommt diese Namensauflösung und warum funktioniert sie beim surfen oder pingen, aber nicht, wenn ich mit nslookup oder dig nachfrage?

    Gibt es bei AD-integrierten DNS-Servern noch irgendeine Art fallback, dass DNS-Anfragen weitergereicht werden, wenn ein einzelner DC nicht auflösen kann?

    Für jeden Hinweis bin ich dankbar!

    Viele Grüße
    Andreas

    Freitag, 10. Oktober 2014 10:02

Antworten

  • Hallo Andreas,

    Es wird versucht die Stammhinweise abzufragen -> Timeout.

    Daher sollte der Tertiäre gefragt werden.

    Die Stammhinweise löschen :)

    Viele Grüße


    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.

    Freitag, 10. Oktober 2014 11:55
  • Moin,

    ... und sobald der "tertiäre" DNS-Server erfolgreich gefragt wurde, wird ihn der Client beim nächsten Mal als primären fragen.

    Also, je nachdem, was tatsächlich gewünscht ist, solltet ihr das Design noch mal prüfen.

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Freitag, 10. Oktober 2014 11:58
  • Update:

    Wir haben das inzwischen getestet. Es werden tatsächlich die anderen DNS-Server des Clients durchprobiert, wenn die Stammhinweise nicht erreicht werden können. Sobald wir an einer Außenstelle einen DNS-Server vom Hauptstandort rausnehmen, kann nicht mehr aufgelöst werden.

    Vielen Dank an alle für die Hilfe. Wieder einiges gelernt! ;-)

    Freitag, 10. Oktober 2014 13:44

Alle Antworten

  • Moin Moin,

    Ich vermute das deine Außenstandorte als sekundären oder primären DNS einen DC des Hauptstandort eingetragen haben? Daher bekommen deine DC´s die Antwort.

    nslookup kann kein fallback auf einen sekundären DNS.

    ping und surfen verwendet die Windows Auflösung..  d.h. host Datei -> Cache -> Netzwerkstack ....

    Viele Grüße

    Philipp 


    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.


    Freitag, 10. Oktober 2014 10:10
  • Moin,

    ja, in die Richtung vermute ich auch. nslookup arbeitet völlig anders als ping:

    [Wenn (und warum) nslookup unerwartete Ergebnisse zeigt | faq-o-matic.net]
    http://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/

    Und deine Clients machen anscheinend die Namensauflösung über einen anderen Weg als über die lokalen DNS-Server.

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Freitag, 10. Oktober 2014 10:18
  • Hallo Philipp,

    die Außenstandorte haben die DNS-Server folgendermaßen konfiguriert

    Primär: Seinen Partner DC
    Sekundär: 127.0.0.1 (gemäß BPA für DNS)
    Tertiär: DC am Hauptstandort

    Aber wenn das die Auflösung ermöglicht, hab ich es falsch verstanden. Meines Wissens nach benutzt der Client nur den sekundären oder einen weiteren DNS-Server, wenn der primäre nicht antwortet, aber nicht, wenn der primäre nicht auflösen kann.

    Ist das tatsächlich so, dass wenn der primäre eine Anfrage nicht auflösen kann, danach der sekundäre gefragt wird?

    Besten Dank und Gruß
    Andreas

    Freitag, 10. Oktober 2014 11:22
  • Hatte sowas ähnliches bei einem Kunden:

    Wenn das Gateway in der Niederlassung auch Traffic abseits der Hauptstelle zulässt und entsprechend die DCs konfiguriert sind, leitet er unbekannte anfragen (unknown, timeout) an das Gateway welches dann deine requests entsprechend der Konfiguration (ping, nslookup reply etc) beantwortet oder auch nicht.

    Freitag, 10. Oktober 2014 11:36
  • Hallo Andreas,

    Es wird versucht die Stammhinweise abzufragen -> Timeout.

    Daher sollte der Tertiäre gefragt werden.

    Die Stammhinweise löschen :)

    Viele Grüße


    Philipp Halbedel

    MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012 

    Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating! 

    I do not represent the organisation I work for, all the opinions expressed here are my own.

    Freitag, 10. Oktober 2014 11:55
  • Moin,

    ... und sobald der "tertiäre" DNS-Server erfolgreich gefragt wurde, wird ihn der Client beim nächsten Mal als primären fragen.

    Also, je nachdem, was tatsächlich gewünscht ist, solltet ihr das Design noch mal prüfen.

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Freitag, 10. Oktober 2014 11:58
  • Hey Philipp,

    ok, das würde hinkommen. Ich dachte immer, dass ein sekundärer (oder weitere) DNS-Server nur herangezogen werden wenn der primäre Server oder Service nicht erreichbar ist. Aber bei einem Timeout während der Abfrage der Stammhinweise sieht es natürlich so aus, als wenn der Dienst nicht läuft, somit macht es ja Sinn, dass er dann umspringt.

    Hast du dazu zufällig irgendeinen offiziellen Link wo das nochmal dokumentiert ist? Also die Bedingungen, die eintreten müssen, damit weitere DNS-Server gefragt werden?

    Vielen Dank schonmal!


    Freitag, 10. Oktober 2014 13:09
  • Hallo Nils

    das ist mir auch neu, wobei es natürch Sinn machen würde.

    Dass unser Design tonnig ist, ist mir klar, wir sind auch schon fleißig am optimieren ;-)


    Freitag, 10. Oktober 2014 13:11
  • Update:

    Wir haben das inzwischen getestet. Es werden tatsächlich die anderen DNS-Server des Clients durchprobiert, wenn die Stammhinweise nicht erreicht werden können. Sobald wir an einer Außenstelle einen DNS-Server vom Hauptstandort rausnehmen, kann nicht mehr aufgelöst werden.

    Vielen Dank an alle für die Hilfe. Wieder einiges gelernt! ;-)

    Freitag, 10. Oktober 2014 13:44