Timeout bei DNS-Anfragen mit Rekursion

[fha 10]

Hallo Zusammen,

 

ich habe eine Domäne "domain.ext" bestehend aus drei Sites und vier DCs (alle Windows 2008 R2).

Site1 hat die DCs DC1 und DC2(PDC, RID, IM). Site2 hat DC3, Site3 hat DC4(Schema, Domain) und EX1(Exchange 2010). Alle vier DCs sind Global Catalog.

 

Ein NSLOOKUP gegen den DC4 bringt folgendes Ergebnis:

 

Default Server:  dc4.domain.ext
Address:  192.168.0.1

> domain.ext
Default Server:  dc4.domain.ext
Address:  192.168.0.1

DNS request timed out. timeout was 2 seconds.
DNS request timed out. timeout was 2 seconds.
Name:    domain.ext
Addresses:  192.168.0.1
          192.168.1.1
          192.168.1.2
          192.168.2.1

 

Wenn ich www.google.de auflösen möchte bekomme ich nur Timeouts.

 

Wenn ich allerdings die Rekursion deaktiviere sieht das ganz anderst aus:

 

C:\Users\svc-exadmin>nslookup
Default Server:  dc4.domain.ext
Address:  192.168.0.1

> set norecursion
> domain.ext
Server:  dc4.domain.ext
Address:  192.168.0.1

Name:    domain.ext
Addresses:  192.168.0.1
          192.168.1.1
          192.168.1.2
          192.168.2.1

> www.google.de
Server:  dc4.domain.ext
Address:  192.168.0.1

Name:    www.google.de
Served by:
- e.root-servers.net
          192.203.230.10

- f.root-servers.net
          192.5.5.241

- g.root-servers.net
          192.112.36.4

- h.root-servers.net
          128.63.2.53

- i.root-servers.net

- j.root-servers.net

- k.root-servers.net

- l.root-servers.net

- m.root-servers.net

- a.root-servers.net

 

Alle Timeouts sind weg. Ich habe schon die Forwarders gecheckt, Die Konfiguration der DNS-Server geprüft - mir ist nichts aufgefallen.

 

Hat jemand eine Idee woran das liegen könnte?

 

 

 

[killtux 11]

ich finde es etwas eigenartig dass du hier die Antworten der Root Server selbst bekommst.

 

Eigentlich sollte ja auf deinen DNS Servern jeweils eingestellt sein, dass sie Zonen welche sie nicht auflösen können

an den DNS Server des Providers senden oder zumindest an eine deiner Firewalls welche das dann wiederum macht.

 

Und ich glaube, dass du irgendwo eine Root Zone aktiv hast "."

Du solltest die "." Root Zone löschen und in Eigenschaften des DNS SErvers im dnsmgmt.msc unter Weiterleitungen die

Provider DNS Eingeben. Dann sollte zumindest mal google richtig aufgelöst werden.

 

Solltest du keine Root Zone finden, erstelle eine Zone die "." heißt und lösche Sie dann wieder. (das war mal ein bug, weiß nicht obs den immer noch gibt).

 

Wenn ich dich recht verstanden habe, ist die Domäne immer die gleiche, und die anderen Server haben keine Subdomains. Wenn dem so ist und alle haben den DNS Dienst drauf. Dann müsstest du mal alle diese Kontrollieren ob da wer eine Root Zone hat.

 

Das wäre mal etwas zum Thema dass dir die Root Server im Internet antworten.

 

2.

Wg. dem Timeout

Dazu mal schauen ob's nach korrektur des obigen nicht eh geht.

Wenn nicht schon gemacht, check überhaupt ob alle deine 4 DCs die AD Integrierten Zonen deiner Domäne haben und ob

die Replikation zumindest auf alle DCs gestellt ist oder auf alle DNS in der Gesamtstruktur.

[fha 10]

Hallo Zusammen,

 

Also das Phänomen ist für mich nicht erklärbar. Allerdings konnte ich es lösen.

In dem Netzwerk war in der Firewall alles geblockt bis auf ganz wenige Dienste. DNS war nicht dabei. Soll heißen: Der Server konnte via Port 53 nicht ins Internet. Neue Regel für Port 53 und die Timeouts waren weg.

 

Ich habe verschiedene Kombinationen ausprobiert: Port 53 zu, Forwarder eingetragen - Port 53 offen, Forwarder eingetragen - Port 53 offen, Kein Forwarder - Port 53 zu, Kein Forwarder.... es lief alles darauf hinaus: Wenn Port 53 ins Internet zu ist kommen zunächst Timeouts bevor das Ergebnis geliefert wird.

 

Was für mich die Frage aufwirft: HÄ? Und vor allem: Woher kamen denn dann in der oben aufgeführten Befehlsreihe die Antworten der ROOT-Server wenn Port 53 zu ist.... Wie gesagt, Problem ist für mich nicht erklärbar.

 

Nun ist Port 53 eben offen und es sind neben den Root-Devices zwei Forwarder ins Internet eingetragen.