Warum fragt Windows AD integrierter DNS zuerst die Forwarder an?

[fha 10]

Hallo Zusammen,

 

Folgende Situation:

1. AD-Domain: addomain.net
2. DC1: Windows 2008 R2, 192.168.0.1, AD-intergierter DNS, Forwarder im DNS auf 8.8.8.8
3. DC2: Windows 2012, 192.168.0.2, AD-intergierter DNS, Forwarder im DNS auf 8.8.8.8 und 208.67.222.222(OpenDNS)
4. Client: Windows 7 Domainmember, 192.168.0.10, DNS-Reihenfolge DC1, DC2, Liste mit DNS-Suffixen in der Netzwerkverbindung z. B. csuffix.net

Mache ich von DC1 auf DC2 einen nslookup für addomain.net bekomme ich als Antwort "addomain.net:192.168.0.1, 192.168.0.2"

Mache ich von DC2 auf DC1 einen nslookup für addomain.net bekomme ich als Antwort "addomain.net:192.168.0.1, 192.168.0.2"

 

Mache ich vom Client einen nslookup auf DC1 für addomain.net bekomme ich als Antwort "addomain.net:192.168.0.1, 192.168.0.2"

Mache ich vom Client einen nslookup auf DC2 für addomain.net bekomme ich als Antwort "addomain.net.csuffix.net: 67.x.x.x"

 

Das Problem ist prinzipiell gelöst:

Die openDNS-Server geben immer diese 67.x.x.x Adresse zurück wenn sie eine Domain nicht kennen anstatt einfach zuzugeben dass sie die DOmain nicht kennen.

Ich habe daher den openDNS-Forwarder am DC2 entfernt und alles läuft wieder einwandfrei.

 

NUR: (Jetzt kommt die Frage!)

Der Windows DNS (Ich habe mal die Gegenprüfung gemacht, der Windows 2008 R2 verhält sich genauso wie der 2012er) fragt hier scheinbar einen Forwarder an. Für eine Forward-Lookup-Zone für die er selbst verantwortlich ist!? Warum? Wieso gibt er nicht einfach die Antwort aus seinem eigenen Speicher? :confused:

 

Hat mir hier jemand eine Erklärung?

[icePatrick 10]

Für was soll der csuffix.net gut sein? Gibt es csuffix.net im Internen DNS? Mach mal ein nslookup addimain.net. also mit einem Punkt am Schluss, dann sollte der Client korrekt auflösen.

[samsam 14]

Moin,

hast du eine Zone oder Conditional forwarder für csuffix.net erstellt?

Wie hast du DNS client auf beide DCs konfiguriert?

Hier ist sehr gute Artikel von NilsK:

Was muss ich beim DNS für Active Directory beachten? (Reloaded)

MFG

bearbeitet 9. August 2013 von samsam

[NilsK 2.930]

Moin,

 

nslookup hängt immer alle DNS-Suffizes an, die der Client kennt - es arbeitet anders als der normale Client-Resolver. Da dein DC2 mehrere Forwarder hat, fragt er alle, ob sie den Eintrag "addomain.net.csuffix.net" kennen, und dieser ominöse "OpenDNS" antwortet mit der Standardadresse (obwohl er das nicht dürfte).

 

Tatsächlich fragt dein Client auch den DC1 nach "addomain.net.csuffix.net", aber der bekommt von keinem seiner Forwarder eine Antwort darauf. Also lässt dein Client bei der nächsten Frage das Suffix weg und bekommt die gewünschte korrekte Antwort.

 

Es arbeiten also alle, wie sie sollen - bis auf den ominösen Forwarder-DNS, der sich nicht an die Regeln hält.

 

Vor einigen Wochen habe ich das Verhalten hier im Board schon beschrieben, aber die komische Suchfunktion lässt mich den Thread nicht mehr finden.

 

EDIT: Ah, jetzt habe ich es doch gefunden, aber die Board-Suche scheint mir trotzdem nicht zuverlässig zu funktionieren. Also:

 

http://www.mcseboard.de/topic/192507-nslookup-hängt-immer-dns-suffix-an/?view=findpost&p=1192169

und

http://www.mcseboard.de/topic/192507-nslookup-hängt-immer-dns-suffix-an/?view=findpost&p=1192179

 

Gruß, Nils

bearbeitet 9. August 2013 von NilsK

[fha 10]

Hallo Zusammen,

 

Vielen Dank an Alle die geantwortet haben. Speziell natürlich an dich, Nils.

Ich habe zwar die Specs zu NSLookup noch nicht gefunden, habe aber nun einen Überblick über die Funktion bekommen.

Das erklärt auch einige unterschiedliche Ergebnisse die Ping und NSlookup liefern.

 

Noch eine Frage zum Schluss: Gibt es außer Ping noch eine Möglichkeit die Ergebnisse des Client-Resolvers sichtbar zu machen?