CoolAce 17 Geschrieben 2. Januar 2014 Melden Teilen Geschrieben 2. Januar 2014 (bearbeitet) Hallo zusammen, ich habe mir bei einem Hoster dieses Feature bestellt und hab nun meinen DNS Server installiert und konfiguriert, alle Einstellungen habe ich auf Standard gelassen soweit so gut, aber der Zonenübertrag klappt ganz und gar nicht :( Konfiguration, ich habe bei der DNS-Zone in den Eigenschaften den DNS Server des Providers angegeben und darunter steht meiner, im Reiter Zonenübertragung habe ich den Haken bei Zulassen gesetzt und "Nur an Server, die in der Registerkarte "Nameserver" aufgeführt sind" ausgewählt. Automatisch Benachrichtigen ist auch gesetzt. Folgende Meldung bekomm ich beim debugging von DNS., 02.01.2014 10:17:58 4B8 Note: got GQCS failure on a dead socket context status=995, socket=21392, pcon=0000007285B78030, state=-1, IP=0.0.0.002.01.2014 10:17:58 4B8 Note: got GQCS failure on a dead socket context status=995, socket=21300, pcon=0000007285B76230, state=-1, IP=::02.01.2014 10:17:58 4B8 Note: got GQCS failure on a dead socket context status=995, socket=21300, pcon=0000007285B76230, state=-1, IP=::02.01.2014 10:17:58 5C0 Note: got GQCS failure on a dead socket context status=995, socket=21392, pcon=0000007285B78030, state=-1, IP=0.0.0.002.01.2014 10:17:58 5C0 Note: got GQCS failure on a dead socket context status=995, socket=21300, pcon=0000007285B74130, state=-1, IP=0.0.0.0 Meine Firewall ist konfiguriert das Port 53 eingehend und ausgehend sowohl TCP als auch UDP darf. Habt ihr noch Ideen ? Gruß Coolace bearbeitet 2. Januar 2014 von CoolAce 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. Januar 2014 Melden Teilen Geschrieben 2. Januar 2014 (bearbeitet) Tcp sollte eigentlich ausreichen. Außerdem solltest du deinen Server nicht als nameserver eintragen, denn er ist ja hidden. ;) zur Sicherheit solltest du auch die rekursion deaktivieren. (Aber darauf achten, wer deinen Server direkt abfragt). Was sagt der Support deines hosters? Welche Firewall steht vor deinem DNS? bearbeitet 2. Januar 2014 von NorbertFe Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. Januar 2014 Autor Melden Teilen Geschrieben 2. Januar 2014 Danke für die Antwort, ich habe den meinigen in den Eigenschaften der Zone als DNS Server gelöscht. Als Firewall setze ich eine TMG 2010 ein. Die Rekursion ist in den Eigenschaften des DNS-Servers unter Erweitert (wo auch Round Robin aktiviert wird) ausgeschalten. Muss der DNS Server des Providers noch irgendwo eingetragen werden ? Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. Januar 2014 Melden Teilen Geschrieben 2. Januar 2014 Ist im tmg der DNS Zone Transfer erlaubt? http://blogs.technet.com/b/yuridiogenes/archive/2010/08/25/securing-your-dns-using-tmg-2010.aspx gibt's keine Anleitung für die Einrichtung durch deinen hoster? Meinen könnte ich damals die notwendigen Parameter alle Abfragen. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. Januar 2014 Autor Melden Teilen Geschrieben 2. Januar 2014 Vielen Dank für den Link, da in der TMG das Standardmäßig mit dem Wert 0 für false versehen ist und es in der Vergangenheit nicht notwendig war schätze ich mal ganz stark das wir an dem Punkt scheitern. Ich werde es mal testen und bescheid geben. Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. Januar 2014 Melden Teilen Geschrieben 2. Januar 2014 Schau doch einfach in der GUI nach im TMG. ;) Ist doch sogar nen Screenshot dabei. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. Januar 2014 Autor Melden Teilen Geschrieben 2. Januar 2014 :schreck: peinlich aber ich finde diese GUI mit NIS nicht, nur den unter Anwendungsfilter bei System und dort steht in den Eigenschaften kein weiterer Reiter. Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. Januar 2014 Melden Teilen Geschrieben 2. Januar 2014 Links "Eindringunsschutzsystem" Dann den Reiter Verhaltensbasierte Eindringungserkennung. ;) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 2. Januar 2014 Melden Teilen Geschrieben 2. Januar 2014 Wir haben auch TMG im Einsatz und unseren externen DNS Server zu einem Anbieter gegeben. Bis auf DNS Standardports und dann die Freigabe am DNS Server selber für den Zonentransfer haben wir nichts am TMG konfiguriert. Ggf. mal bei deinem Hoster anfragen. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 3. Januar 2014 Autor Melden Teilen Geschrieben 3. Januar 2014 Ich habe nun anhand des Artikel s von NorbertFE den Haken gesetzt. Ich werde mal schauen ob das was bringt Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 3. Januar 2014 Melden Teilen Geschrieben 3. Januar 2014 Sollte sich dann ja relativ schnell im Eventlog finden. :) Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 7. Januar 2014 Autor Melden Teilen Geschrieben 7. Januar 2014 Es funktioniert nicht, anscheinend ist für den AXFR der Port 53 relevant aber danach wechselt er auf die Higher Ports, d.h. die müssen auch frei sein kann man das auf einen Port fest einstellen ? Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 7. Januar 2014 Melden Teilen Geschrieben 7. Januar 2014 Wäre mir nicht bekannt, dass für einen Zonentransfer andere Ports als 53 udp/tcp überhaupt eine Rolle spielen. Was sagt denn dein Hoster dazu? Gibt's da keinen Support für solche Sachen? Bye Norbert Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 7. Januar 2014 Autor Melden Teilen Geschrieben 7. Januar 2014 Der sagt nur das DNS Zonentransfer auf Port 53 TCP und UDP stattfindet und dann auf die higher Ports schaltet, sprich man muss alle higher Port <1024 freischalten für die eingehnde Verbindung da nach dem 53 Port er ja wechselt.. Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 7. Januar 2014 Melden Teilen Geschrieben 7. Januar 2014 warte ich schau mal nach. http://support.microsoft.com/kb/291662/en-us schau mal hier. Ich hab das bei uns mit ner Sophos UTM machen müssen und da ist es ebenfalls so: all ports > sourceport 53 TCP/udp Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.