highman72 10 Geschrieben 8. März 2007 Melden Teilen Geschrieben 8. März 2007 Hallo, ich supporte gerade ein kleines Windows Server 2003 Netzwerk mit ca. 15 XP Clients. Vor einiger Zeit wurde durch eine Fachfirma der DSL Router getauscht, weil der neue mit der Firmenzentrale per VPN tunneln kann und somit nicht auf jedem Client ein Tunnel stehen muss. Jetzt habe ich folgendes Problem: Zuvor hatte ich DNS-Anfragen ins Internet einfach an den Router weitergeleitet (Server: 10.0.0.1, Router 10.0.0.2) und der diese an den vom ISP vorgegebenen Nameserver. Das soll laut Firma mit dem neuen Router nicht mehr gehen. Ich soll Anfragen auf einen richtigen Nameserver weiterleiten (was ich mit 194.25.2.129 mache). Das Internet ist nun aber quälend langsam. tracert heise online ergibt: Routenverfolgung zu heise online [193.99.144.85] ber maximal 30 Abschnitte: 1 * * * Zeitberschreitung der Anforderung. 2 42 ms 254 ms 43 ms 217.0.67.90 3 63 ms 47 ms 52 ms 217.239.40.86 4 44 ms 43 ms 54 ms 193.159.224.46 5 47 ms 44 ms 52 ms heise1.f.de.plusline.net [213.83.46.131] 6 54 ms 229 ms 45 ms heise online [193.99.144.85] Ablaufverfolgung beendet. Offensichtlich versucht er immer den Router zu erreichen und es kommt zu einer Zeitüberschreitung. Anpingen geht allerdings einwandfrei. Unter DNS habe ich eine Forward und Reverse Zone eingerichtet. DNS Weiterleitungen laufen auf die Server 194.25.2.129 und 194.25.0.60. Bei DHCP habe ich in den Bereichsoptionen ebenfalls diese DNS Server als weitere nachgeordnete eingetragen. In der DNS Ereignisanzeige tauchen sporadisch immer wieder 4004 und 4015er Fehler auf, allerdings nicht täglich. Ich weiß jetzt nicht mehr weiter. Kann mir jemand helfen? Liebe Grüße Jens Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. März 2007 Melden Teilen Geschrieben 8. März 2007 Keiner der Domänenmember bekommt einen externen DNS-Server zugewiesen. Hast Du mal probiert ohne Weiterleiter (also über die Root) aufzulösen ? Ist das ein Telekomanschluss ? Adressen der lokalen DNS-Server von T-Online Zitieren Link zu diesem Kommentar
highman72 10 Geschrieben 8. März 2007 Autor Melden Teilen Geschrieben 8. März 2007 Hallo IThome, vielen Dank erst mal für die schnelle Antwort. Es ist ein Telekom-Anschluss. Wie meinst Du das mit: Keiner der Domänenmember bekommt einen externen DNS-Server zugewiesen. Ich sitze momentan per RealVNC von extern am Server. Von da aus habe ich alles gestartet. Der Server ist ja per se ein Domänenmitglied. Aber das Tracert von Clients aus zeigt das gleiche. Der erste Eintrag (sollte hier nicht der Router stehen) zeigt immer eine Zeitüberschreitung. Wie löse ich denn über die Root auf? Ich denke, der kann nur auflösen, was in der Domäne liegt? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. März 2007 Melden Teilen Geschrieben 8. März 2007 Nochmal von vorne, Du hast ein Active Directory ? Die Clients haben als Gateway die Adresse des Routers eingetragen und als einzigen DNS-Server den DC ? Der DNS-Dienst des DCs hat als Weiterleiter die beiden von Dir genannten Adressen eingetragen ? Der DHCP sollte keine externen DNS-Server verteilen, ausschliesslich die Adresse des DCs. Wenn Du im DNS-Dienst des DCs die beiden Weiterleiter entfernst, auf ihm keine "." Zone eingerichtet ist und Stammserver eingetragen sind (das sind sie per Default), dann löst er über die iterativ über die Root auf. Du kannst aber auch mal eine andere als die 194.25.2.129 als ersten Weiterleiter eintragen (siehe Liste im vorigen Post) ... Poste bitte mal IPCONFIG /ALL des Servers und eines Clients ... Zitieren Link zu diesem Kommentar
highman72 10 Geschrieben 8. März 2007 Autor Melden Teilen Geschrieben 8. März 2007 Ja, AD läuft. Die Clients haben ausser dem ADC auch die IP Adressen der externen Nameserver (war nur testweise), lässt sich aber abschalten. Am Server liegt jedoch nur die IP Adresse localhost als DNS an. An den Server komme ich momentan, nicht aber an die Clients, aber es geht ja schon am Server nicht. ipconfig /all ergibt: Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : server2003 Primres DNS-Suffix . . . . . . . : domaene.local Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : domaene.local Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : SiS 900-basierte PCI-Fast Ethernet-Adapter Physikalische Adresse . . . . . . : xx-xx-xx-xx-xx DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.0.0.1 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 10.0.0.2 DNS-Server . . . . . . . . . . . : 127.0.0.1 Ich hatte den DNS neu aufgesetzt, daher habe ich keine "." Zone, demnach auch keinen Stammserver, oder? Die Weiterleitungen habe ich jetzt gelöscht, einen Moment gewartet und erneut ein tracert auf heise.de ausgeführt, jedoch ohne Änderungen. mmmm... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. März 2007 Melden Teilen Geschrieben 8. März 2007 Entferne auf dem DC mal die 127.0.0.1 und trage stattdessen die 10.0.0.1 ein. Wenn Du keine "." Zone hast, ist Dein Server kein Stammserver, löst also über die Root auf. Trage mal als Weiterleiter die 217.237.149.161 und 217.237.150.225 ein (willkürlich aus der Liste gewählt). Starte danach den DNS-Dienst neu und führe IPCONFIG /FLUSHDNS aus. Dann prüfst Du mit NSLOOKUP <verschiedene Seiten> aus, ob die Namen aufgelöst werden und wie die Antwortzeit ist (erstmal nur auf dem DC). Wenn sie in Ordnung ist, hast Du kein DNS-Problem, sondern eher ein Problem mit dem neuen Router (eventuell MTU) ... Der TRACERT Befehl löst den Namen richtig auf, ich denke nicht, dass die Namensauflösung fehlerhaft ist. Kannst Du die interne Schnittstelle des Routers anpingen ? Zitieren Link zu diesem Kommentar
highman72 10 Geschrieben 8. März 2007 Autor Melden Teilen Geschrieben 8. März 2007 Ich habe das wie vorgeschlagen geändert, aber es hat sich leider immer noch nichts getan. nslookup und tracert und ipconfig /all ergeben: nslookup Google Server: server2003.domaene.local Address: 10.0.0.1 Nicht-autorisierende Antwort: Name: Google Addresses: 209.85.129.104, 209.85.129.99, 209.85.129.147 Aliases: Google, Google tracert Google Routenverfolgung zu Google [209.85.129.99] ber maximal 30 Abschnitte: 1 * * * Zeitberschreitung der Anforderung. 2 43 ms 43 ms 43 ms 217.0.67.86 3 45 ms 44 ms 44 ms f-ea3.F.DE.net.DTAG.DE [62.154.17.54] 4 44 ms 44 ms 44 ms 62.156.139.62 5 44 ms 44 ms 51 ms 217.147.96.228 6 44 ms 44 ms 44 ms 217.147.109.150 7 45 ms 45 ms 56 ms 72.14.238.126 8 45 ms 45 ms 45 ms 72.14.232.207 9 54 ms 45 ms 45 ms 72.14.233.206 10 45 ms 45 ms 47 ms fk-in-f99.google.com [209.85.129.99] Ablaufverfolgung beendet. ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : server2003 Primres DNS-Suffix . . . . . . . : domaene.local Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : domaene.local Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : SiS 900-basierte PCI-Fast Ethernet-Adapter Physikalische Adresse . . . . . . : xx-xx-xx-xx-xx DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.0.0.1 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 10.0.0.2 DNS-Server . . . . . . . . . . . : 10.0.0.1 Hast Du/Ihr noch irgendwelche Ideen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. März 2007 Melden Teilen Geschrieben 8. März 2007 So wie es aussieht, ist es kein Namensauflösungsproblem. Du sagst, dass die Probleme seit der Installation des neuen Routers auftraten. Könnte es sein, dass der Internetzugang durch den Tunnel erfolgt ? Zitieren Link zu diesem Kommentar
highman72 10 Geschrieben 9. März 2007 Autor Melden Teilen Geschrieben 9. März 2007 Hallo IThome, habe ich jetzt abgeklärt, ist es nicht. Habe auch genauer nachgeforscht, ab wann der Fehler aufgetreten ist: Der neue Router ist eigentlich kein Router sondern eine Firewall, die mal so nebenbei auch routet. Die hängt schon seit über einem Jahr, die Probleme kommen erst seit Anfang des Jahres, bislang auch nur sporadisch, jetzt dauerhaft. Ich weiß jetzt echt nicht mehr weiter. Hast Du / habt Ihr noch eine Idee? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. März 2007 Melden Teilen Geschrieben 9. März 2007 Verändere auf einem CLient mal die MTU mit dem Tool DrTCP auf den Wert 1400 und prüfe dann noch mal (davon ausgehend, dass der Internetverkehr über den lokalen Router abgewickelt und nicht erst durch den Tunnel und dann von dem dortigen Router ins Internet geroutet wird). Was ist das für Firewall/Router ? Zitieren Link zu diesem Kommentar
highman72 10 Geschrieben 10. März 2007 Autor Melden Teilen Geschrieben 10. März 2007 Muss ich machen, wenn ich mal physisch da bin. Bislang immer nur per VNC. Der Router/Firewall ist irgendwas von Cisco. Keine Ahnung. Hat eine Fremdfirma installiert, die den auch wartet. Ich melde mich noch mal. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.