Magroll 10 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 (bearbeitet) Hallo zusammen, ich habe hier ein stranges Problem mit meinen 2 DC's. In unregelmäßigen Abständen funktioniert die Auflösung von externen Domainnamen nicht mehr. Das äußert sich dann so, daß ein ping auf www.gmx.de nicht mehr aufgelöst werden kann. Interne Hosts dagegen sind kein Problem. Das Problem tritt zu selben Zeit auf beiden DC's auf! Auf den DC's ist eine Weiterleitung an unseren Proxyserver (Bluecoat) konfiguriert, welcher wiederrum an unsere Provider DNS Server weiterleitet. Das Konstrukt funktioniert mit unseren Novellservern jahrelang problemlos, nur die MS DC's (2012) haben diese Probleme. Das Problem taucht irgendwann plötzlich auf und hält dann bis zu 5 Minuten an und verschwindet auch von alleine wieder, das ganze passiert etwa 3-5 mal am Tag, evt. auch öfter, soweit ich das feststellen konnte. Ich habe das ganze mal mit Wireshark auf einem DC analysiert und dabei ist folgendes rausgekommen: Immer wenn die Auflösung nicht funktioniert, gibt es in der DNS Anfrage zusätzlich zur Queries Sektion eine Sektion "Additional Records" Typ OPT 41 und es scheint ein Bit gesetzt zu sein für "Do bit : Accepts DNSSEC security RRs". Der Proxy beantwortet die DNS Anfrage dann mit einem "Query Response : Format Error". Wenn die DNS Anfrage auf den DC's wieder funktioniert, ist das "Additional Records" Feld wieder komplett weg und die DNS Anfrage sieht so aus, wie ich Sie sonst auch kenne (nur mit Queries Feld). Jemand eine Idee, ich habe auf den DC's nix bewußt mit DNSSEC konfiguriert und warum tritt das Phänomen nur hin und wieder auf?! in den Ereignislogs ist absolut nix zu sehen, außer die Meldung das Host www.gmx.de nicht aufgelöst werden konnte. Wenn ich während des Problems vom Proxy einen Ping auf www.gmx.de absetzte läuft das einwandfrei, alle Clients, welche nicht unsere DC's als DNS Server nutzen, funktionieren auch vollkommen normal. Cu, Mag bearbeitet 7. Juli 2015 von Magroll Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 (bearbeitet) Moin, Option 41 steht für EDNS (Extended DNS). Bei einem MS DNS Server ist diese Option standardmäßig aktiviert und nutzt DNS Pakete > 512 byte. Manche Firewalls/Router haben damit Probleme. Bei einigen kann die Inspection Rule ('strict DNS' o.s.ä) entsprechend angepasst werden. Alternativ kann am MS DNS extended DNS deaktiviert werden. dnscmd [<ServerName>] /config /enablednsprobes 0 https://technet.microsoft.com/de-de/library/cc772069%28v=ws.10%29.aspx bearbeitet 7. Juli 2015 von Dunkelmann 1 Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 8. Juli 2015 Autor Melden Teilen Geschrieben 8. Juli 2015 (bearbeitet) Interessante Info! Vielen Dank hierfür, die FW scheint bei uns aber nicht das Problem zu sein. Für die Bluecoat finde ich zu dem Thema mal genau gar nix, was mir weiterhilft :nene: Ich habe das mit dnscmd auf den Windowsservern mal testweise deaktiviert und versuche das die nächsten Tage zu beobachten. Komisch finde ich es nach wie vor, dass das ganze nur sporadisch auftritt. ThX, Mag bearbeitet 8. Juli 2015 von Magroll Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.