none
DNS hinter Firewall RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    wir haben seit kurzem ein paar Probleme, die ich gerne im Nachfolgendem schildere.

    Umgebung:

    Windows Server 2008 R2

    Domäne mit 3 DC's

    2 WINS mit Replikation

    UTM im HA

    Die interne Namensauflösung funktioniert wunderbar, hier hatten wir bisher keinerlei Probleme.

    Im DNS sind KEINE Weiterleitungen eingerichtet, Stammhinweise werden verwendet

    Update Stand ist nahezu aktuell

    Clients haben die internen DNS als DNS eingetragen, zusätzlich haben Sie 2 WINS

    Die DNS Server haben nur sich und einen internen Partner als DNS eingetragen

    Nun zum Problem:

    Es kommt hin und wieder mal vor, dass bestimmte Webseiten nicht verfügbar sind. Die Auflösung funktioniert nicht. Über die IP komme ich auf die Server. Zu diesem Zeitpunkt kann ich sämtlich Seiten aufrufen, auch welche, die in den letzten Wochen definitiv nicht aufgerufen wurden. Nur eben die Eine oder Andere nicht. Es sind auch merkwürdigerweise immer dieselben. Gehe ich zu diesem Zeitpunkt mit einem mobilem Gerät auf diese Webseite (UMTS, anderer DNS), dann funktioniert die Seite/n.

    Wenn ich nun ein TRACERT verwende, um die Routen zu verfolgen, dann fällt mir bei funktionierenden Seiten auf, dass die erste Route unsere UTM (Gateway) ist, obwohl die Clients unsere DNS eingetragen haben. Klar kann unser DNS die Domain nicht auflösen aber müsste dieser nicht trotzdem bei dem TRACERT nicht an erster Stelle stehen? Ist das korrekt, dass hier als erster Eintrag der Gateway steht? Welchen Sinn machen die Stammhinweise, wenn ohnehin über den Gateway gegangen wird und hier die Provider DNS als Resolver verwendet werden? Klar kann unser DNS kein Resolver spielen, denn dann würde die Kiste wahrscheinlich glühen aber welchen Sinn haben dann die Stammhinweise?

    Bei den nicht funktionierenden Webseiten kommt die Meldung, dass der Name nicht aufgelöst werden konnte. Dieses Problem ist sehr sporadisch, sodass die gerade nicht funktionierende Webseite kurze Zeit später wieder aufrufbar sein kann. Mir stellt sich die Frage, ob wir Probleme mit unserem DNS, UTM oder dem Provider DNS haben.

    Wenn doch eine Fehlkonfiguration im DNS oder UTM vorliegen würde, dann könnten wir meiner Meinung überhaupt nicht arbeiten, jedoch haben wir nur Probleme bei der Auflösung vereinzelnder Seiten. In der UTM ist konfiguriert, dass das interne Netzwerk DNS Anfragen stellen darf (wobei auch das unnötig ist, da das interne Netzwerkja die internen DNS Server fragt und nicht die UTM), UTM nutzt Provider DNS, die automatisch empfangen werden. Auch hier könnte ich testweise andere DNS eintragen, jedoch wollte ich vorab Ungereimtheiten aus der Welt schaffen.

    Jemand eine clevere Idee? Danke schonmal für eure Anteilnahme.

    Schöne Grüße

    Montag, 11. Mai 2015 20:34
    |

Alle Antworten

  • Discussion
    Anmelden
    2
    Anmelden

    Hallo SADFR,


    ähnliches Verhalten, bei dir die externe DNS Auflösung nur anhand der Stammhinweiße nicht funktioniert, konnte ich auch schon bei mehreren Systemen beobachten. Leider ließ sich das Verhalten bisher nie in meinen Testumgebungen nachstellen, wesewegen ich bisher noch keine abschliessende Lösungen für das Problem habe. Daher konfiguriere ich in der Regel auf den internen DNS Servern eine Weiterleitung auf einen Vertrauenswürdigen "externen" DNS Server, z. B. die UTM bzw. Provider. Siehe z. B. https://technet.microsoft.com/de-de/library/cc754941.aspx


    Bzgl. der Frage zum Tracert, ja das Verhalten ist hierbei normal. Man darf hierbei nicht eine Routingverfolgung (tracert) mit einer Namensauflösung (z. B. nslookup) gleichsetzen. Wenn man einen tracert z. B. auf microsoft.com macht geschieht natürlich einen Namensauflösung. Diese Namensauflösung geschieht aber im Hintergrund und hat nichts direkt mit der Routingverfolgung (tracert) zu tun.

    Gruß Olaf

    Montag, 11. Mai 2015 21:43
    |
  • Discussion
    Anmelden
    0
    Anmelden

    An die Weiterleitungen dachte ich auch schon im DNS, jedoch empfiehlt MS die Stammhinweise zu verwenden.

    Eine Fehlkonfiguration in der UTM schließe ich aus, da ja sämtliche Seiten aufgelöst werden können.

    Einen Testclient habe ich direkt an der UTM, mit ihr als DNS, dann funktioniert auch die Auflösung. Wobei das nichts zu sagen hat, denn wenn Services nicht sauber durch die UTM gehen, die für Auflösung benötigt werden, dann kann es trotzdem an der UTM liegen.

    Ich werde nochmal mit Sophos sprechen, vielleicht finde ich eine Lösung und werde die zur Verfügung stellen. Bis dahin werde ich wohl im DNS eine Weiterleitung eintragen, die auf die UTM zeigt. Hatte Sophos wohl auch empfohlen. Finde ich halt nur unsauber.

    Meine Server in der DMZ nutzen auch die DNS Server aus dem internen Netz, funktioniert auch alles super. Interne WINS lösen Server in der DMZ auf, auch da keine Probleme. Nur die externe Auflösung hakt ganz selten mal bei bestimmten Seiten.

    Danke für den Tipp mit TRACERT.

    Dienstag, 12. Mai 2015 06:13
    |
  • Discussion
    Anmelden
    2
    Anmelden

    Moin,

    eventuell hilft es, extended DNS auf dem DC zu deaktivieren. EDNS nutzt Pakete > 512 byte, das mögen nicht alle Router, Firewalls, DNS Server bzw. es muss bei machen explizit erlaubt werden.

    dnscmd /config /EnableEDNSProbes 0

    This posting is provided AS IS with no warranties.

    Dienstag, 12. Mai 2015 10:11
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Ich glaube es liegt eher am Routing Netz. Selbst MS beschreibt, dass es hier zu Problemen kommen kann und man eine Weiterleitung einrichten soll.

    Habe ich in einem der zahlreichen Artikel gelesen. Falls ich etwas Anderes herausfinden sollte, dann werde ich die Informationen gerne bereitstellen.

    Donnerstag, 14. Mai 2015 19:38
    |