none
NSLOOKUP timed out sur un seul domaine externe RRS feed

  • Question

  • Bonjour,

    Je me permets de créer un nouveau sujet sur ce problème de résolution de nom.

    Voici mon infra de façon synthétique : réseau 192.168.1.x/24, 2 contrôleurs de domaine (2008 r2 et 2016 qui sont up-to-date), un firewall WatchGuard M370 qui gère le filtrage et le multi wan (basculement vers SDSL si VDSL est HS), pour ce qui est de la sortie vers internet.

    Le domaine en question est agenda-mlblois.com

    Depuis mon téléphone, en passant en 4G : accès OK.

    Depuis mon réseau, avec n'importe quel poste (pb non lié à un un ordinateur) : 

    -------------------------

    C:\Users\xxxxx>nslookup agenda-mlblois.com
    Serveur :   srv-ad.domaine.local
    Address:  192.168.1.10

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Le délai de la requête sur srv-ad.domaine.local est dépassé.

    --------------------------

    Si j'essaie depuis les DC de faire le NSLOOKUP :

    --------------------------

    C:\Users\administrateur.MAIRIE>nslookup agenda-mlblois.com
    Serveur :   SRV-DC2.domaine.local
    Address:  192.168.1.43

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Le délai de la requête sur SRV-DC2.domaine.local est dépassé.

    --------------------------

    (et même message depuis SRV-DC2, sauf qu'il va afficher le FQDN de SRV-AD)

    J'utilisais les redirecteurs 8.8.8.8 / 8.8.4.4 / 194.2.0.20 / 194.2.0.50 

    J'ai essayé sans redirecteurs (donc en se basant directement sur les serveurs racines : idem

    J'ai augmenté le TTL pour le nslookup à 10 secondes : idem

    Si sur un des postes du réseau, je fixe les DNS avec 8.8.8.8 (ou n'importe quel autre DNS public) : ping/accès web/nslookup sur agenda-mlblois.com : OK

    Si sur un de postes du réseau, je fixe mes DNS (1.10 et 1.43) : nOK

    J'ajoute que l'accès à internet est bien fonctionnel, aucun problème d'accès à d'autre site ! (c'est bien ça le plus étrange)

    Lors du NSLOOKUP, la demande ne sort pas des DNS locaux ; je veux dire par là que je n'ai pas de log dans le pare-feu afférant à cette requête.

    J'ai lu sur le NET que le problème pouvait être lié à la taille des paquets DNS, donc j'ai bien essayé de désactiver EDNS0 : sans effet

    L'IPV6 sur mes deux DC était désactivé, je l'ai réactivé : sans effet

    J'ai contacté le webmaster du site qui m'indique que personne ne lui a remonté de problème d'accessibilité sur son site.

    Je pense avoir donné le maximum d'info..

    D'avance, merci pour votre support.

    Arthur

    mercredi 11 avril 2018 08:31

Réponses

  • J'avais ouvert un autre topic sur le technet mais forum en anglais, ici

    J'ai finalement découvert que c'est mon F-Secure Server Security qui bloquait des requêtes DNS basée sur la réputation! Lien forum f-secure qui m'a mis sur la piste ici

    • Marqué comme réponse Spunamo lundi 7 mai 2018 16:43
    lundi 7 mai 2018 16:43

Toutes les réponses

  • Bonjour,

    Il semble que les serveurs DNS locaux n'arrive pas à joindre les IP déclaré dans la liste des redirecteurs DNS pour la résolution du nom externe.  

    Cela peut être un problème de flux ou routage réseau. Vérifier que le flux est autorisé entre les DNS locaux et les IP des redirecteurs. et aussi les paramètre IP (il faut utiliser la bonne  Gateway)



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/



    mercredi 11 avril 2018 22:41
    Modérateur
  • Bonjour,

    Les DNS locaux contactent bien les redirecteurs. Voici ce qu'il se passe sur mon DC en 2008r2 avec un "nslookup google.fr 192.168.1.43" 

    On identifie bien le 194.2.0.50 qui est mon redirecteur.

    La même requête mais avec le nom de domaine agenda-mlblois.com donne ceci :

    Concernant la conf DNS des deux DC, chacun a en primaire l'IP de son partenaire, et en secondaire, 127.0.0.1 (j'ai essayé en remplaçant loopback par l'ip local du serveur mais idem). La gateway paramétrée sur les DC est bonne : on peut bien surfer sur le net depuis eux-même.

    Concernant le flux réseau, le port 53 est bien ouvert de mon réseau local vers l'extérieur.

    Avez-vous une autre piste ?

    Merci pour votre aide.

    vendredi 13 avril 2018 07:21
  • Bonjour,

    Je viens de me rendre compte que le site https://www.forum-microsoft.org/ m'est inaccessible depuis mon réseau, mais si je change mon DNS par 8.8.8.8, l'accès est OK.

    même problème, nslookup www.forum-microsoft.org fini en time out. Par contre si je retire les w devant : nslookup forum-microsoft.org j'ai bien une réponse.

    Une idée ?

    lundi 16 avril 2018 13:45
  • Bonjour,

    Tout d'abord, concernant la configuration de votre serveur DNS, il vous faut utiliser comme redirecteur ceux de votre FAI plutot que ceux de google.

    Ensuite, en changeant le DNS tout fonctionne donc j'opterai pour un problème avec l'équipement de sécurité qui possède une règle DC -> internet ou internet -> DC
    lundi 16 avril 2018 14:43
  • Bonjour,

    Je viens de me rendre compte que le site https://www.forum-microsoft.org/ m'est inaccessible depuis mon réseau, mais si je change mon DNS par 8.8.8.8, l'accès est OK.

    même problème, nslookup www.forum-microsoft.org fini en time out. Par contre si je retire les w devant : nslookup forum-microsoft.org j'ai bien une réponse.

    Une idée ?

    Sur votre DNS interne essayer de tester la résolution DNS d'une zone externe.
    Tester également d’interroger le DNS google.

    Pouvez vous nous donner plus de détails sur votre infra réseau? combien de VLAN? 

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    lundi 16 avril 2018 22:04
    Modérateur
  • Bonjour et merci pour votre intérêt.

    Concernant mes redirecteurs DNS, ce sont bien ceux  de mon FAI. Quand j'indique qu'en passant par 8.8.8.8 ça marche, c'est en fixant ce DNS là dans la carte réseau d'un ordinateur.

    Sur l'équipement de sécurité (le pare-feu physique), le port 53 est ouvert en sortie (règle définie comme cela :

    source : adresse réseau du LAN

    destination : sorties externes).

    Je ne vois pas ce que je peux ajouter de plus..

    Depuis mes DNS, je peux résoudre des noms de domaines externes :

    ------------------

    C:\Users\administrateur.DOMAINE>nslookup google.fr
    Serveur :   SRV-DC2.DOMAINE.local
    Address:  192.168.1.43
    
    Réponse ne faisant pas autorité :
    Nom :    google.fr
    Addresses:  2a00:1450:4007:809::2003
              172.217.18.195

    ------------------

    C:\Users\administrateur.DOMAINE>nslookup 8.8.8.8
    Serveur :   SRV-DC2.DOMAINE.local
    Address:  192.168.1.43
    
    Nom :    google-public-dns-a.google.com
    Address:  8.8.8.8

    ------------------

    Concernant l'infra, pas de VLAN en place. Un hyper-v 2016 hébergeant plusieurs VMs dont 2 DC (celui hébergeant les FSMO est en 2016, le second en 2008R2)

    Cet hyper-v est relié à un switch. Sur ce switch est relié le pare-feu physique qui permet la sortie vers internet (2 sorties externes ; une SDSL de secours et une VDSL) Lors de mes timeout avec NSLOOKUP, les paquets n'arrivent pas jusqu'au pare-feu : je n'ai aucun log afférants à ces requêtes en DENY (ou même en ALLOW)

    Si je réactive le débogage DNS sur mon SRV-AD et que depuis un poste je lance 'nslookup agenda-mlblois.com 192.168.1.10' voilà ce qu'il s'affiche dans le log :

    17/04/2018 12:25:55 0A70 PACKET  0000012B93E2D9A0 UDP Snd 194.2.0.50      0d18   Q [0001   D   NOERROR] A      (14)agenda-mlblois(3)com(0)
    
    17/04/2018 12:25:57 1288 PACKET  0000012B972680F0 UDP Snd 194.2.0.50      ca6e   Q [0001   D   NOERROR] AAAA   (14)agenda-mlblois(3)com(0)
    
    17/04/2018 12:25:59 0C88 PACKET  0000012B93E2D9A0 UDP Snd 194.2.0.20      0d18   Q [0001   D   NOERROR] A      (14)agenda-mlblois(3)com(0)
    
    17/04/2018 12:26:00 0C88 PACKET  0000012B972680F0 UDP Snd 194.2.0.20      ca6e   Q [0001   D   NOERROR] AAAA   (14)agenda-mlblois(3)com(0)
    
    17/04/2018 12:26:03 0C88 PACKET  0000012B93E2D9A0 UDP Snd 192.5.6.30      5587   Q [0000       NOERROR] A      (14)agenda-mlblois(3)com(0)
    
    17/04/2018 12:26:05 0C88 PACKET  0000012B972680F0 UDP Snd 2001:503:a83e::2:30 c4fd   Q [0000       NOERROR] AAAA   (14)agenda-mlblois(3)com(0)

    On s'aperçoit pourtant que la requête passe par les redirecteurs '194.2.0.50' et '194.2.0.20' . Si j'ajoute et mets le redirecteur 8.8.8.8 en pôle position, on le retrouve dans les logs, donc le mécanisme des redirecteurs fonctionne :

    17/04/2018 12:14:51 12B4 PACKET  0000012B94DEA530 UDP Snd 8.8.8.8         f8ee   Q [0001   D   NOERROR] A      (14)agenda-mlblois(3)com(0)
    17/04/2018 12:14:53 12B4 PACKET  0000012B952808E0 UDP Snd 8.8.8.8         1f7e   Q [0001   D   NOERROR] AAAA   (14)agenda-mlblois(3)com(0)
    17/04/2018 12:19:08 0C88 PACKET  0000012B92F66530 UDP Snd 192.168.1.141   0004 R Q [8281   DR SERVFAIL] A      (14)agenda-mlblois(3)com(0)
    
    17/04/2018 12:19:09 0C88 PACKET  0000012B92B29D40 UDP Snd 192.168.1.141   0005 R Q [8281   DR SERVFAIL] AAAA   (14)agenda-mlblois(3)com(0)

    (192.168.1.141 est l'ip privée du poste qui émet la requete nslookup)

    par contre l'ip publique 192.5.6.30 ressort étrangement. D'après google, c'est lié à VeriSign. La requête vers mon redirecteur 194.2.0.50 me répondrait d'aller question 192.5.6.30 ?



    • Modifié Spunamo mardi 17 avril 2018 11:46 ajout image eventvwr
    mardi 17 avril 2018 10:31
  • Bonjour,

    Migration du DC 2008 R2 vers nouvelle VM en 2016 : le problème persiste !

    vendredi 27 avril 2018 08:19
  • Bonjour,

    Sur le même réseau, j'ai monté une nouvelle VM en 2016 et ai installé AD DS + DNS. J'ai monté un nouveau domaine "test.lan"

    Après l'installation des rôles, la VM reboot automatiquement et met '127.0.0.1' en DNS primaire de sa carte réseau. Il ajoute également mon SRV-AD2 de mon "vrai" domaine en tant que redirecteur.

    Je tente un ping agenda-mlblois.com : ça marche ...

    C:\Users\Administrateur.WIN-KCV73PTD92K>ping agenda-mlblois.com
    
    Envoi d’une requête 'ping' sur agenda-mlblois.com [163.172.115.21] avec 32 octets de données :
    Réponse de 163.172.115.21 : octets=32 temps=8 ms TTL=54
    Réponse de 163.172.115.21 : octets=32 temps=8 ms TTL=54
    Réponse de 163.172.115.21 : octets=32 temps=8 ms TTL=54
    Réponse de 163.172.115.21 : octets=32 temps=8 ms TTL=54
    
    Statistiques Ping pour 163.172.115.21:
        Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
    Durée approximative des boucles en millisecondes :
        Minimum = 8ms, Maximum = 8ms, Moyenne = 8ms


    je tente le NSLOOUKP :

    C:\Users\Administrateur.WIN-KCV73PTD92K>nslookup agenda-mlblois.com
    DNS request timed out.
        timeout was 2 seconds.
    Serveur :   UnKnown
    Address:  ::1
    
    Réponse ne faisant pas autorité :
    DNS request timed out.
        timeout was 2 seconds.
    Nom :    agenda-mlblois.com
    Address:  163.172.115.21

    En supprimant le redirecteur SRV-AD2, je ping toujours le domaine externe.

    Dans les paramètres de la connexion réseau, je retire 127.0.0.1 en DNS primaire, et je mets mes deux DC de mon vrai domaine en tant que DNS. même après ça, je pingue le domaine.

    Quelle explication proposez-vous ?!

    EDIT : les différences que j'ai pu constaté entre le domaine test et mon vrai domaine :

    Dans les root dns, les ipv6 étaient renseignées. Pas sur mes vrais DNS, j'ai corrigé mais ça ne change rien.

    Dans mes vrais DNS, voici le cache pour le domaine 'COM' : aucune trace de agenda-mlblois

    Sur mon DNS bidon : on le retrouve bien !

    • Modifié Spunamo mercredi 2 mai 2018 12:08
    mercredi 2 mai 2018 10:03
  • Bonjour,

    Encore un domaine que je ne sais résoudre :

    C:\Users\xxxxxx>nslookup poly-math.com
    Serveur :   SRV-AD.DOMAINE.local
    Address:  192.168.1.10

    DNS request timed out.
        timeout was 2 seconds.

    Si je relance la commande en demandant de passer par 8.8.8.8 :

    C:\Users\xxxxx>nslookup poly-math.com 8.8.8.8
    Serveur :   google-public-dns-a.google.com
    Address:  8.8.8.8

    Réponse ne faisant pas autorité :
    Nom :    poly-math.com
    Addresses:  2400:cb00:2048:1::6812:378c
              2400:cb00:2048:1::6812:368c
              104.18.54.140
              104.18.55.140

    jeudi 3 mai 2018 11:49
  • J'ai updaté mes serveurs racines (root hints) sur mes deux AD de prod. J'ai utiliser le bouton "copier à partir du serveur : 198.41.0.4 (qui correspond au serveur racine A)

    Suite à ça, j'ai redémarrer les services DNS des deux AD + vider le cache :


    C:\Users\xxxxxxx>nslookup poly-math.com 8.8.8.8
    Serveur :   google-public-dns-a.google.com
    Address:  8.8.8.8

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Le délai de la requête sur google-public-dns-a.google.com est dépassé.

    Impossible de l'atteindre avec le DNS 8.8.8.8 alors que je pouvais plus tôt (cf message ci-dessus), suite à cette manip. Toujours pas possible de joindre agenda-mlblois.com non plus.

    vendredi 4 mai 2018 09:38
  • J'avais ouvert un autre topic sur le technet mais forum en anglais, ici

    J'ai finalement découvert que c'est mon F-Secure Server Security qui bloquait des requêtes DNS basée sur la réputation! Lien forum f-secure qui m'a mis sur la piste ici

    • Marqué comme réponse Spunamo lundi 7 mai 2018 16:43
    lundi 7 mai 2018 16:43