NSLOOKUP timed out sur un seul domaine externe
Question
Réponses
Toutes les réponses
-
Bonjour,
Les DNS locaux contactent bien les redirecteurs. Voici ce qu'il se passe sur mon DC en 2008r2 avec un "nslookup google.fr 192.168.1.43"
On identifie bien le 194.2.0.50 qui est mon redirecteur.
La même requête mais avec le nom de domaine agenda-mlblois.com donne ceci :
Concernant la conf DNS des deux DC, chacun a en primaire l'IP de son partenaire, et en secondaire, 127.0.0.1 (j'ai essayé en remplaçant loopback par l'ip local du serveur mais idem). La gateway paramétrée sur les DC est bonne : on peut bien surfer sur le net depuis eux-même.
Concernant le flux réseau, le port 53 est bien ouvert de mon réseau local vers l'extérieur.
Avez-vous une autre piste ?
Merci pour votre aide.
-
Bonjour et merci pour votre intérêt.
Concernant mes redirecteurs DNS, ce sont bien ceux de mon FAI. Quand j'indique qu'en passant par 8.8.8.8 ça marche, c'est en fixant ce DNS là dans la carte réseau d'un ordinateur.
Sur l'équipement de sécurité (le pare-feu physique), le port 53 est ouvert en sortie (règle définie comme cela :
source : adresse réseau du LAN
destination : sorties externes).
Je ne vois pas ce que je peux ajouter de plus..
Depuis mes DNS, je peux résoudre des noms de domaines externes :
------------------
C:\Users\administrateur.DOMAINE>nslookup google.fr Serveur : SRV-DC2.DOMAINE.local Address: 192.168.1.43 Réponse ne faisant pas autorité : Nom : google.fr Addresses: 2a00:1450:4007:809::2003 172.217.18.195
------------------
C:\Users\administrateur.DOMAINE>nslookup 8.8.8.8 Serveur : SRV-DC2.DOMAINE.local Address: 192.168.1.43 Nom : google-public-dns-a.google.com Address: 8.8.8.8
------------------
Concernant l'infra, pas de VLAN en place. Un hyper-v 2016 hébergeant plusieurs VMs dont 2 DC (celui hébergeant les FSMO est en 2016, le second en 2008R2)
Cet hyper-v est relié à un switch. Sur ce switch est relié le pare-feu physique qui permet la sortie vers internet (2 sorties externes ; une SDSL de secours et une VDSL) Lors de mes timeout avec NSLOOKUP, les paquets n'arrivent pas jusqu'au pare-feu : je n'ai aucun log afférants à ces requêtes en DENY (ou même en ALLOW)
Si je réactive le débogage DNS sur mon SRV-AD et que depuis un poste je lance 'nslookup agenda-mlblois.com 192.168.1.10' voilà ce qu'il s'affiche dans le log :
17/04/2018 12:25:55 0A70 PACKET 0000012B93E2D9A0 UDP Snd 194.2.0.50 0d18 Q [0001 D NOERROR] A (14)agenda-mlblois(3)com(0) 17/04/2018 12:25:57 1288 PACKET 0000012B972680F0 UDP Snd 194.2.0.50 ca6e Q [0001 D NOERROR] AAAA (14)agenda-mlblois(3)com(0) 17/04/2018 12:25:59 0C88 PACKET 0000012B93E2D9A0 UDP Snd 194.2.0.20 0d18 Q [0001 D NOERROR] A (14)agenda-mlblois(3)com(0) 17/04/2018 12:26:00 0C88 PACKET 0000012B972680F0 UDP Snd 194.2.0.20 ca6e Q [0001 D NOERROR] AAAA (14)agenda-mlblois(3)com(0) 17/04/2018 12:26:03 0C88 PACKET 0000012B93E2D9A0 UDP Snd 192.5.6.30 5587 Q [0000 NOERROR] A (14)agenda-mlblois(3)com(0) 17/04/2018 12:26:05 0C88 PACKET 0000012B972680F0 UDP Snd 2001:503:a83e::2:30 c4fd Q [0000 NOERROR] AAAA (14)agenda-mlblois(3)com(0)
On s'aperçoit pourtant que la requête passe par les redirecteurs '194.2.0.50' et '194.2.0.20' . Si j'ajoute et mets le redirecteur 8.8.8.8 en pôle position, on le retrouve dans les logs, donc le mécanisme des redirecteurs fonctionne :
17/04/2018 12:14:51 12B4 PACKET 0000012B94DEA530 UDP Snd 8.8.8.8 f8ee Q [0001 D NOERROR] A (14)agenda-mlblois(3)com(0) 17/04/2018 12:14:53 12B4 PACKET 0000012B952808E0 UDP Snd 8.8.8.8 1f7e Q [0001 D NOERROR] AAAA (14)agenda-mlblois(3)com(0) 17/04/2018 12:19:08 0C88 PACKET 0000012B92F66530 UDP Snd 192.168.1.141 0004 R Q [8281 DR SERVFAIL] A (14)agenda-mlblois(3)com(0) 17/04/2018 12:19:09 0C88 PACKET 0000012B92B29D40 UDP Snd 192.168.1.141 0005 R Q [8281 DR SERVFAIL] AAAA (14)agenda-mlblois(3)com(0)
(192.168.1.141 est l'ip privée du poste qui émet la requete nslookup)
par contre l'ip publique 192.5.6.30 ressort étrangement. D'après google, c'est lié à VeriSign. La requête vers mon redirecteur 194.2.0.50 me répondrait d'aller question 192.5.6.30 ?
- Modifié Spunamo mardi 17 avril 2018 11:46 ajout image eventvwr
-
Bonjour,
Sur le même réseau, j'ai monté une nouvelle VM en 2016 et ai installé AD DS + DNS. J'ai monté un nouveau domaine "test.lan"
Après l'installation des rôles, la VM reboot automatiquement et met '127.0.0.1' en DNS primaire de sa carte réseau. Il ajoute également mon SRV-AD2 de mon "vrai" domaine en tant que redirecteur.
Je tente un ping agenda-mlblois.com : ça marche ...
C:\Users\Administrateur.WIN-KCV73PTD92K>ping agenda-mlblois.com Envoi d’une requête 'ping' sur agenda-mlblois.com [163.172.115.21] avec 32 octets de données : Réponse de 163.172.115.21 : octets=32 temps=8 ms TTL=54 Réponse de 163.172.115.21 : octets=32 temps=8 ms TTL=54 Réponse de 163.172.115.21 : octets=32 temps=8 ms TTL=54 Réponse de 163.172.115.21 : octets=32 temps=8 ms TTL=54 Statistiques Ping pour 163.172.115.21: Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%), Durée approximative des boucles en millisecondes : Minimum = 8ms, Maximum = 8ms, Moyenne = 8ms
je tente le NSLOOUKP :
C:\Users\Administrateur.WIN-KCV73PTD92K>nslookup agenda-mlblois.com DNS request timed out. timeout was 2 seconds. Serveur : UnKnown Address: ::1 Réponse ne faisant pas autorité : DNS request timed out. timeout was 2 seconds. Nom : agenda-mlblois.com Address: 163.172.115.21En supprimant le redirecteur SRV-AD2, je ping toujours le domaine externe.
Dans les paramètres de la connexion réseau, je retire 127.0.0.1 en DNS primaire, et je mets mes deux DC de mon vrai domaine en tant que DNS. même après ça, je pingue le domaine.
Quelle explication proposez-vous ?!
EDIT : les différences que j'ai pu constaté entre le domaine test et mon vrai domaine :
Dans les root dns, les ipv6 étaient renseignées. Pas sur mes vrais DNS, j'ai corrigé mais ça ne change rien.
Dans mes vrais DNS, voici le cache pour le domaine 'COM' : aucune trace de agenda-mlblois
Sur mon DNS bidon : on le retrouve bien !
- Modifié Spunamo mercredi 2 mai 2018 12:08
