hegl 10 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 (bearbeitet) Moin,ich habe den Morgen damit verbracht, Lösungen zum o.g. Problem zu finden - leider erfolglos.Wir habe eine interne AD-Domain firma.de , die extern aber existiert und nicht uns ist. Wie wir nun feststellen, hängen die Rechner, die an freien DSL-Anschlüssen betrieben werden (wie zB. bei MobileUsern) bei einem nslookup immer, also auch bei vollständigem FQDN, unseren DNS-Suffix an und somit bekommen wir für jede Abfrage die gleiche IP-Adresse zurück. Intern haben wir keine Probleme.Wir sind uns eigentlich sicher, dass dies bis vor kurzem noch nicht so war und glauben, dass evtl. ein Update uns in diese Lage gebracht hat. Hat hier jemand nähere Infos?Mal gerade die AD ändern ist nicht machbar und so suchen wir natürlich eine praktikable Lösung.Alle Clients (XP, WIN7) sind gleich konfiguriert (siehe Anhang) bearbeitet 3. April 2013 von hegl Zitieren Link zu diesem Kommentar
Manuel1990 10 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 Hi hegl Um was geht es genau bei deiner NSlookup Abfrage? Bzw. was willst du damit erreichen? Grüsse Vendetta Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 3. April 2013 Autor Melden Teilen Geschrieben 3. April 2013 (bearbeitet) Ich will nichts Bestimmtes erreichen, sondern mittles nslookup Auflösungen überprüfen. Und wenn ich jedesmal die gleiche IP-Adresse zurück erhalte, ist das für´n Popo. Merkwürdigerweise funktioniert das Surfen im Browser einwandfrei, d.h. unsere MobileUser können extern störungsfrei arbeiten.Hier stellt sich dann natürlich die Frage, wieso? bearbeitet 3. April 2013 von hegl Zitieren Link zu diesem Kommentar
Manuel1990 10 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 Aber was versuchst du zu erreichen? Beliebige Ziele im Internet oder interne Server? Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 3. April 2013 Autor Melden Teilen Geschrieben 3. April 2013 Hmm, wenn es um MobileUser geht, die an einem belibeigen DSL-Anschluss oder Hotspot ins Internet gehen, wird´s wohl kaum um interne Server gehen. Weiter oben hatte ich ja bereits geschrieben, dass intern alles funktioniert :cool: Zitieren Link zu diesem Kommentar
Manuel1990 10 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 Ja warum nicht --> VPN... Das heisst, egal was du anpingst oder anfragst gibt dir ein und die selbe IP-Adresse zurück? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 Moin, nslookup verhält sich immer so. Das Verhalten ist völlig normal. Das Problem liegt in eurer ungünstigen DNS-Konfiguration. nslookup ist, anders als viele glauben, NICHT geeignet, um die Namensauflösung eines Clients zu überprüfen. Dazu ist ping besser geeignet (oder ein Browser). nslookup ist das richtige Tool, um in die DNS-Datenbank zu sehen. Ich hatte einen sehr ähnlichen Fall vor ein paar Monaten bei einem Kunden. Dort kam noch hinzu, dass dessen Domainname im Internet von einem falsch konfigurierten DNS-Server bedient wurde, was wir aber erst nach einiger Zeit herausgefunden haben. Hier ein Zitat unserer damaligen Ergebnisse: nslookup verhält sich, wie ich erwähnte, anders als der normale Client-Resolver. So scheint es normal zu sein, dass nslookup immer zuerst das lokale Domain-Suffix anhängt. Allerdings merkt man das normalerweise nicht, weil der Name eigentlich ja nicht aufgelöst werden kann. In dem Fall versucht nslookup dann die untergeordneten Domains und erst als letztes dann den eingetiuppten Namen. Der Vorgang würde dann bei "gesunder" Funktion so aussehen: lookup www.heise.de.beispiel.tld -> Fehler, gibt es nicht; nslookup probiert als nächstes: lookup www.heise.de -> gibt es, richtige Antwort Die Frage ist also, warum erhält Ihr DNS-Server eine (syntaktisch) gültige (wenn auch unsinnige) Antwort bei der Frage nach www.heise.de.beispiel.tld? Ich habe nun festgestellt, dass ww.heise.de.beispiel.tld auch von hier über Vodafone-UMTS zu derselben IP-Adresse aufgelöst wird. Und siehe da: Es ist egal, was man vor beispiel.tld hängt - es wird immer zu 1x8.y3.9.z1 aufgelöst. [Anonymisierung durch mich, NilsK] Das deutet auf eine Fehlkonfiguration des externen DNS-Servers für beispiel.tld hin. Wer betreibt diesen? Laut whois ist die Domain bei einer Firma "XYZ GmbH" registriert. Der externe Nameserver läuft bei einer Domain namens "beispielname". Mir scheint, als sollten Sie mal mit Ihrem Web-Provider sprechen, der den externen DNS-Namen betreut. Anscheinend gibt der immer dieselbe IP-Adresse zurück, wenn er einen Hostnamen nicht auflösen kann. Oder gehört Ihnen die Domain beispiel.tld gar nicht ...? Schöne Grüße, Nils Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 3. April 2013 Autor Melden Teilen Geschrieben 3. April 2013 (bearbeitet) Hi Nils,vielen Dank, für das Licht im Tunnel.Mit der ungünstigen DNS-Konfiguration meinst Du bestimmt die Wahl des AD-DomainName?Ich will aber auch nicht, wie Du schreibst, die Namensauflösung eines Clients prüfen, sondern das Vorhandensein ein offiziellen DNS-Records. Dazu teste ich halt mit meinem NB außerhalb unserer Domäne an einem simplen DSL-Anschluss eines beliebigen Providers ab und an einen Domainnamen. Und heute fällt halt auf, dass ich für jede Domain dieselbe Adresse zurückbekomme. Und das war m.E. nie so!Wenn intern eine Webaufruf einer externen Domain (wie zB. www.heise.de ) nicht funktionierte, habe ich so immer die Möglichkeit gesucht, das ohne unsere Security-Elemente zu testen - so wie ein Standard-User zu Hause. Somit konnte ich immer unseren Proxy ausschließen. Wenn´s extern auch nicht funktioniert hat, habe ich dann immer das Vorhandensein des A-Records mittels nslookup getestet. Nur wenn jetzt immer unser DNS-Suffix angehangen wird, ist das hinfällig. bearbeitet 3. April 2013 von hegl Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 3. April 2013 Melden Teilen Geschrieben 3. April 2013 (bearbeitet) Moin, Und heute fällt halt auf, dass ich für jede Domain dieselbe Adresse zurückbekomme. Und das war m.E. nie so! nslookup hat noch nie anders gearbeitet. Es fängt, genau anders als der Client-Resolver, immer beim maximal mit Suffizes ausgestatteten Namen an und arbeitet sich dann bei Misserfolg "nach unten". Das ist auch dokumentiert, ich habe nur gerade die Links nicht bei der Hand. Eine Web-Recherche sollte dir das aber schnell bestätigen. Was sich hingegen geändert haben könnte, ist das Verhalten des DNS-Servers, der zu der externen Domain gehört, deren Namen ihr intern verwendet. Wie in dem von mir geschilderten Beispiel könnte es sein, dass dieser DNS-Server für jeden Host, den er nicht kennt, dieselbe IP-Adresse zurückgibt. (Es könnte sein, dass der Domain-Inhaber damit auch Besucher auf seine Webseite bekommen will, die sich beim Hostnamen vertippen.) Damit ist die DNS-Antwort für nslookup gültig, wenn sie natürlich eben auch unsinnig ist. Eine Möglichkeit, das "von innen" zu ändern, ist mir nicht bekannt. Naja, abgesehen von: DNS-Namen des AD ändern ... Du kannst aber nslookup zwingen, genau den von dir gewünschten Eintrag abzufragen, ohne Suffizes anzufügen: Hänge einen Punkt hinten an, also z.B. nslookup www.heise.de. Gruß, Nils bearbeitet 3. April 2013 von NilsK Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 3. April 2013 Autor Melden Teilen Geschrieben 3. April 2013 Nochmals vielen Dank.ich werde mich mal auf die Suche begeben und schauen, dass ich die Doku zu nslookup finde.Das mit dem Punkt hätte mir auch selbst einfallen sollen :mad: Danke für den Hinweis :jau: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.