none
DNS Kuriosum RRS feed

  • Frage

  • Moin,

    ich habe in meinem Netzwerk 2 Win10-Clients, die auf eine bestimmte DNS-Abfrage anders reagieren, als alle anderen Server und Clients.

    Es geht um die Namensauflösung des Exchangeservers innerhalb des Netzwerks.
    Beim Provider ist der Name hinterlegt: nslookup mail.xxx.de = 87.47.66.22 (Beispiel -IP).
    Auf dem DNS-Server der Domäne ist eine Forward-Lookup Zone eingerichtet: xxx.de, mit einem HOST A Eintrag: mail.xxx.de = 192.168.100.75

    Abfrage: nslookup mail.xxx.de - Antwort: 192.168.100.75 auf Servern und PCs (so soll es sein)

    Abfrage: nslookup mail.xxx.de - nicht autorisierende Antwort: 87.47.66.22 auf 2 Win10 Clients (diese Antwort soll intern nicht kommen)

    Die beiden Clients bekommen Ihre IP-Einstellungen wie jeder andere PC per DHCP. Die Host-Datei hat keinen Eintrag, der lokale Cache wurde geleert, die Netzwerkeinstellungen wurden bereits zurückgesetzt. Es gibt keine zusätzlichen statischen Routen. Der Fehler tritt benutzerunabhängig nur auf 2 PCs auf.

    Wenn ich den DNS-Server debugge, sehe ich die Anfrage und die richtige Antwort. Der Client zeigt aber trotzdem die öffentliche IP an. Wenn ich den Internet-Router ausschalte, bekomme ich eine Time-out Meldung beim Client.

    Warum versucht der Client den Namen über das Internet aufzulösen, obwohl die Zone auf dem internen DNS-Server vorhanden ist?

    VG
    Karsten

    Mittwoch, 8. Januar 2020 10:14

Alle Antworten

  • Mal ne blöde Frage:
    Stimmen die Einträge des/der DNS-Server in den IP-Einstellungen?
    Zu beachten ist ggv. auch IPV6.

    Desweiteren wird von Win10 eine DNS Abfrage an alle erreichbaren DNS-Server gleichzeitig gesendet und die erste Antwort mit einer gültigen IP wird dann akzeptiert.
    Somit scheint der öffentliche DNS-Server schneller zu antworten.

    Grundsätzlich sollte nur ein DNS-Server, nämlich der eigene (ggf. der Router), eingetragen werden.
    Dieser kann dann alle internen Namen auflösen und die IP melden.
    Nur bei dann unbekannten Namen und wenn autorisiert, kann beim öffentlichen DNS-Server nachgefragt werden.

    Ich könnte bei mir z.B. 8.8.8.8 als Googles DNS-Server eintragen statt oder zusätzlich zu meinem Router.

    Mittwoch, 8. Januar 2020 11:13
  • Moin,

    in einer AD-Umgebung dürfen nur Domain Controller (oder andere DNS Server, die die AD-Zone auflösen oder zu ihr weiterleiten können) in den TCP/IP-Einstellungen eingetragen sein.

    Speziell ab Windows 10 gibt es ein neues Verhalten, wonach alle eingetragenen DNS-Server angefragt werden, und die erste Antwort genommen wird.

    Stell also bitte sicher, dass sich nicht irgendwo ein externer DNS-Server eingeschlichen hat.

    Was auch manchmal dazwischen funkt, ist die Suchreihenfolge. War die Maschine vorher in einem anderen Netz, so hat sie ggfls. per dortigem DHCP den Suffix aus jenem Netz bekommen. Machst Du jetzt ein Lookup, wird der Suffix an jede Eingabe angehängt, es wird also nicht mail.firma.de, sondern mail.firma.de.fritz.box abgefragt.

    Schau mal, ob Du die richtige Antwort ktriegst, wenn Du statt mail.firma.de mail.firma.de. auflöst.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 8. Januar 2020 11:44
  • In den DHCP Einstellungen sind nur die beiden internen DNS Server, der beiden DCs eingetragen.
    Im DNS ist keine Weiterleitung eingetragen.

    Ich kann auch die interne IP des DNS-Servers an die Anfrage anhängen, um die Abfrage über einen bestimmten Server zu erzwingen -> keine Veränderung der Situation.


    • Bearbeitet Karsten4213 Mittwoch, 8. Januar 2020 12:51
    Mittwoch, 8. Januar 2020 12:44
  • ich habe die Anfrage angepasst und mail.firma.de. aufgelöst. Keine Veränderung :-(

    Ich habe auf dem DNS Server die Debugprotokollierung angeschaltet und zwei unterschiedliche Clients dieselbe Abfrage machen lassen. Im Protokoll gibt der DNS beide Male die richtige Antwort an die Clients.
    Aber der eine betroffene Client ignoriert anscheinend die Antwort und versucht die Adresse extern aufzulösen.

    Mittwoch, 8. Januar 2020 12:47
  • Schau dir mal per "ipconfig /all" die aktuelle DNS-Konfiguration an.
    Win 10 kann auch IPv6, ggf. gibt es da eine falsche IP-Adresse die ins öffentliche Netz geht.
    Mittwoch, 8. Januar 2020 13:44
  • dann würde mir aber eine IPV6 Adresse antworten und nicht eine IPV4 Adresse (siehe Bild oben)

    Ich habe auch das IPV6 spaßeshalber mal auf dem Client deaktiviert, ohne Erfolg.

    Mittwoch, 8. Januar 2020 13:54
  • Prüfe:

    ipconfig /displaydns

    ipconfig /flushdns

    ipconfig /displaydns

    Mittwoch, 8. Januar 2020 14:22
  • keine Veränderung.
    Mittwoch, 8. Januar 2020 14:28
  • Aber der eine betroffene Client ignoriert anscheinend die Antwort und versucht die Adresse extern aufzulösen.

    Was heißt das technisch? Dafür müsste er ja Zugriff auf einen externen DNS-Server haben. Falls das der Fall ist, s. meine erste Antwort.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 8. Januar 2020 14:56
  • so etwas in der Art vermute ich ja auch. Aber wo hinterlegt Windows die Abfragereihenfolge?
    In ipconfig /all werden nur die beiden internen DNS Server hinterlegt. Die öffentlich Abfrage erfolgt über das Standardgateway.

    Wenn ich das Standardgateway bewusst falsch eintrage, dauert es ein paar Abfragen, bis die richtige Antowrt vom internen DNS Server kommt.

    Mittwoch, 8. Januar 2020 15:04
  • In Win 10 gibt es keine DNS-Reihenfolge mehr da alle erreichbaren DNS-Server gleichzeitig abgefragt werden.

    Ich hänge z.B. mit VPN in meinen entfernten Geschäftsräumen und habe somit 2 DNS-Server. Den eigenen Router und den fernen Router.
    Durch die Parallelabfrage kommt es schon mal vor, dass der entfernte Rooter mir eher eine IP zurückmeldet als mein lokaler Rooter, der ja DNS-Abfragen ebenso ins Internet stellt.
    Nun habe ich eine Fritzbox, deren Suffix eben "fritz.box" ist und leider immer noch unveränderbar ist.
    Da die Endung ".box" aber inzwischen auch offiziell möglich ist, hat mir der entfernte DNS-Server eine ungültige IP gemeldet (statt unbkannter Host), so dass ich meine lokale fritz.box nicht mehr erreichen konnte.
    Der entfernte DNS ist also schneller als der lokale DNS (soviel zur Lichtgeschwindigkeit).

    Erst der Eintrag in meine HOSTS (ja ich weiß, unüblich) brachte mir die korrekte Verbindung zurück.

    Außerdem ist "nslookup" nicht (mehr) der richtige Weg, die DNS-Auflösung zu prüfen:
    https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/

    Alternativ kannst du auch mal die Powershell bemühen, die arbeitet wieder anders:
    https://docs.microsoft.com/en-us/powershell/module/dnsclient/resolve-dnsname?view=win10-ps


    Mittwoch, 8. Januar 2020 15:43