senceffm 10 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 (bearbeitet) Hallo Forum, Einer meiner Kunden hat ein AD Server, auf welchem ein DNS Nachinstalliert wurde, läuft soweit super. Nun haben wir heute unsere FW Lösung integriert und haben nun ein Problem bei allen Rechnern mit dem DNS. Die interne Auflösung der Hostnamen funktioniert einwandfrei, jedoch sind RR-A, RR-MX. RR-SOA Abfragen nach extern nicht mehr möglich. Die FW leitet alle DNS Anfragen an den Nameserver des Providers weiter, wird dieser bei den Clients direkt eingetragen funktioniert es. (das Setup läuft seit Jahren bei vielen Kunden, deshalb "muss" es ein DNS Problem im W2K8 sein) behaupte ich mal :D wir haben bereits versucht als Weiterleitung im DNS des W2K8 Servers die FW einzutragen (für dns Weiterleitungen), welche so gesagt als Router angesehen werden kann. Jedoch leitet das auch nicht die Anfragen von den Clients, welche ja aufgrund des AD´s die IP des AD - DNS Servers eingetragen haben, dessen Client anfragen an den Router weiter. Ein Packetsniffing auf der Firewall (als Router anzusehen) ergab nur das die ROOT-DNS-Server a-k angefragt werden. Habe mir eben das ganze mal in der VM im Homeoffice nach gebaut, hier funktioniert es mit der selben Firewall, in der selben Infrastruktur ohne Probleme. Wo wird hier im AD bzw im DNS des w2k8 der dns Server für nicht auflösbare Domains (also alle externen) angegeben ? denn die client zeigen ja auf die IP des Dns Servers vom AD. Vielen Dank Nachtrag: eine DNS Abfrage über den AD-DNS Server mit dem Tool dig ergibt folgendes: > dig @192.168.36.3 google.de ; <<>> DiG 9.7.1-P2 <<>> @192.168.36.3 google.de ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 16010 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;google.de. IN A ;; Query time: 3978 msec ;; SERVER: 192.168.36.3#53(192.168.36.3) ;; WHEN: Tue Mar 8 21:55:29 2011 ;; MSG SIZE rcvd: 27 bearbeitet 8. März 2011 von senceffm Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 Du hast also im Windows DNS Server die Firewall als Forwarder eingetragen oder du hast auf dem Windows Server die Firewall als DNS Server eingetragen? Das was du beschreibst sieht ein wenig hiernach aus: Some DNS name queries are unsuccessful after you deploy a Windows Server 2003 or Windows Server 2008 R2-based DNS server Gilt identisch auch für Windows 2008 und 2008 R2. ;) Bye Norbert Zitieren Link zu diesem Kommentar
senceffm 10 Geschrieben 8. März 2011 Autor Melden Teilen Geschrieben 8. März 2011 Hallo NorbertFe, wir hatten beides versucht, aber Primär die Firewall(router ähnl.) als Forwarder im dns des w2k8 server eingetragen. Habe mir eben das ganze mal mit einer VM (w2k8) und einer unserer Linux Firewalls nach gebaut, funktioniert ohne Probleme. Habe dann ein handelsüblichen Router gegen unsere FW ausgetauscht, funktioniert ebenfalls. Dann in den Netzwerkeinstellungen (IPv4) den DNS auf dem w2k8 anstelle von sich selbst mit der öffentlichen IP mal direkt auf die Firwall gesetzt, machte auch keinen Unterschied. -> funktioniert. glaube es hängt in irgendeiner Anwendungsschicht des W2K8 Dns Systems, dass die client Dns Anfragen nicht an die Firewall (Router) weitergeleiten werden. Wie gesagt der Netzwerksniff ergab keine einzigste Anfrage... an die firewall, nur an die Root-server.net oO Ich schau mal ob ich nen Fix für das UDP Paket finde, aber da ich alle Regeln selbst schrieb sollte es kein Problem mit der Ablehnung von Großen UDP Datagrammen geben. Aber ich werde es mal testen, wenn ich wieder zugriff erhalte. Sonst noch eine Idee? // PS Der W2K8 AD- DNS (selber maschine) zeigt doch mit dem DNS Eintrag auf sich selbst, nur woher weiß er welchen dns server er befragen soll, wenn er "nur" den default Gateway auf port 53 befragt würde es doch bei speziellen Szenarien Probleme geben, wo ein anderer DNS explizit eingetran sein muss Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 Dann laß den Server doch mal zu den Root Hints. funktioniert es denn dann? Bye Norbert Zitieren Link zu diesem Kommentar
senceffm 10 Geschrieben 8. März 2011 Autor Melden Teilen Geschrieben 8. März 2011 leider funktioniert es bei den Root-Hints auch nicht, alle aus dem Localnet dürfen "alles" also es gibt keine Einschränkungen Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 Dann schalte doch einfach mal die Funktion eDNS ab. Passiert was oder nicht? Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 // PSDer W2K8 AD- DNS (selber maschine) zeigt doch mit dem DNS Eintrag auf sich selbst, nur woher weiß er welchen dns server er befragen soll, wenn er "nur" den default Gateway auf port 53 befragt würde es doch bei speziellen Szenarien Probleme geben, wo ein anderer DNS explizit eingetran sein muss Ähm natürlich hat der Windows Server nur sich selbst eingetragen. Und er weiß wen er fragen soll, weil im DNS Server ein Server als Weiterleitung eingetragen wird. Ist dort keiner eingetragen werden die Root hints gefragt. Und wenn diese Anfragen von einer Firewall/Router geblockt werden (eDNS), dann gibts eben keine externe Namensauflösung. ;) Bye Norbert Zitieren Link zu diesem Kommentar
senceffm 10 Geschrieben 8. März 2011 Autor Melden Teilen Geschrieben 8. März 2011 Und er weiß wen er fragen soll, weil im DNS Server ein Server als Weiterleitung eingetragen wird. hatten wir gehabt, brachte uns leider keinen Schritt nach vorne, in meiner Testumgebung, brauchte ich kein Forwarder einzutragen, er befragte den Gateway oO in der hosts Datei ist er nicht definiert, in den TCP Settings auch nicht, gibt es noch stellen, an welchen der DNS Dienst von WindowNameserver deklariert ? auser in der SOA, hosts Datei ? Vielen Dank für deine Mühen Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 . hatten wir gehabt, brachte uns leider keinen Schritt nach vorne, in meiner Testumgebung, brauchte ich kein Forwarder einzutragen, er befragte den Gateway oO Wohl kaum. Wenn überhaupt dann wohl die Root hints und dein Gateway agiert als DNS Proxy. in der hosts Datei ist er nicht definiert, in den TCP Settings auch nicht, Ja logisch. Hosts Datei? Was willst du denn damit? gibt es noch stellen, an welchen der DNS Dienst von WindowNameserver deklariert ? Wieso denn Nameserver? auser in der SOA, hosts Datei ? Was steht denn bei dir in der hosts Datei? Was hat das mit DNS zu tun? So ganz verstehe ich dein Problem nicht. :) How to configure DNS for Internet access in Windows Server 2003 schau mal unter Weiterleitungen. Bye Norbert Vielen Dank für deine Mühen Zitieren Link zu diesem Kommentar
senceffm 10 Geschrieben 8. März 2011 Autor Melden Teilen Geschrieben 8. März 2011 äh ja :- ) going late... wollte nur wissen wo der windows server seinen dns server speichert den er befragen wird, wenn in den netzwerk Einstelllungen er selbst als DNS Server deklariert ist und im dns Server, welcher ja auf dem selben Server läuft kein externer dns engetragen ist. Das Problem ist, was mir nun einfällt, immer wenn wir die Firewall (Router) welche als dns Proxy fungiert eintragen, wird der NAme geprüft (w2k8) jedoch kann er diesen nie auflösen. Im 2003er fand nie eine Auflösung statt beim dns forwarder aber im 2008 oO hatten den router auch schon mit "a record" und "ptr" drin, zum Namen hatte er immer die IP aber trotzdem fand er ihn nicht. dankeeeee villeicht hilft das hier steht die firewall ip, aber immer fdqn not found Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 wollte nur wissen wo der windows server seinen dns server speichert den er befragen wird, wenn in den netzwerk Einstelllungen er selbst als DNS Server deklariert ist und im dns Server, welcher ja auf dem selben Server läuft kein externer dns engetragen ist. Die Root Server. Und wo die gespeichert sind, hast du bestimmt schon gefunden. Das Problem ist, was mir nun einfällt, immer wenn wir die Firewall (Router) welche als dns Proxy fungiert eintragen, wird der NAme geprüft (w2k8) jedoch kann er diesen nie auflösen. Na und? Es kann trotzdem funktionieren. Im 2003er fand nie eine Auflösung statt beim dns forwarder Ach was. Ist ja auch ein Feature, welches es erst im 2008 aufwärts gibt. ;) hatten den router auch schon mit "a record" und "ptr" drin, zum Namen hatte er immer die IP aber trotzdem fand er ihn nicht. Dann trag doch mal nen anderen DNS Server ein. Bspw. 193.101.111.10 hier steht die firewall ip, aber immer fdqn not found Könnte ja sein, dass deine Firewall einfach keinen eingetragenen Namen hat? ;) Bye Norbert Zitieren Link zu diesem Kommentar
senceffm 10 Geschrieben 9. März 2011 Autor Melden Teilen Geschrieben 9. März 2011 Okey haben es nun, problem war ein Fehler im vorgelagerten Router, welcher den dns Forward auf die vom ISP genannten nicht korrekt implementiert hat. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 9. März 2011 Melden Teilen Geschrieben 9. März 2011 ok, danke für die Rückmeldung. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.