Attack44 2 Geschrieben 27. Januar 2023 Melden Teilen Geschrieben 27. Januar 2023 Hallo, ich habe seit kurzem das Phänomen/Problem , dass zwei unserer DCs externe DNS Abfragen oft an nicht definierte externe DNS Server stellen. Wir haben bei uns in den DNS Servereinstellungen unter Weiterleitungen zwei DNS Server von quad9 hinterlegt die abgefragt werden sollen, alternativ werden dann die Stammhinweise verwendet. Unsere Firewall ist auch so eingestellt, dass externe DNS Abfragen von den DCs nur an die Server von quad9 und an die Stammserver gehen können, Abfragen an andere externe DNS Server werden blockiert. Aufgefallen ist das Problem, dass verschiedene Webseiten nicht aufgelöst werden konnten, durch einen Trace in unserer Firewall konnte ich dann sehen, dass die DCs DNS Abfragen an Server stellen die nicht in der Liste vorhanden sind. Die Server von quad9 werden auch ab und zu und abgefragt aber Großteil geht an "unbekannte" DNS Server...da frage ich mich, woher die DCs die IPs her haben und warum die das machen? Kann sich einer das Problem erklären? Vielen Dank. Gruß Andreas Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 27. Januar 2023 Melden Teilen Geschrieben 27. Januar 2023 Moin, vielleicht versuchen sie, die authoritativen Nameserver der jeweiligen Zonen zu erreichen? Man muss die konkreten Anfragen und Antworten sehen, um das bewerten zu können. Zitieren Link zu diesem Kommentar
Attack44 2 Geschrieben 27. Januar 2023 Autor Melden Teilen Geschrieben 27. Januar 2023 Hallo, was meinst Du genau mit "authoritativen Nameserver der jeweiligen Zonen"? Die Server fragen aktuell verschiedene öffentliche DNS Server ab um externe Dienste aufzulösen zu können, vorher hat es ja gereicht das nur die quad9 Server abgefragt werden um externe Dinge aufzulösen. Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 27. Januar 2023 Melden Teilen Geschrieben 27. Januar 2023 Moin, DNS ist ein verteiltes System. Wenn ein angefragter DNS-Server die angefragte Adresse nicht vollständig kennt, aber einen Teil davon, dann gibt er dem Resolver den Verweis, wo er die Information genauer bekommt. Diesen Server fragt der Resolver dann an. Ich möchte also die IP-Adresse von "hurz.jodl.dingens.de" wissen. Der DNS-Server, den ich frage, kennt die Antwort nicht, weiß aber, wer der DNS-Server von "dingens.de" ist. Das teilt er mir mit. Nun frage ich diesen DNS-Server, der vielleicht nur weiß, wer "jodl.dingens.de" verwaltet. Den frage ich dann und erhalte dann die Antwort, die ich ursprünglich wollte. Grob vereinfacht, aber so in der Art. https://de.wikipedia.org/wiki/Domain_Name_System#Beispiel_Namensauflösung Gruß, Nils 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 27. Januar 2023 Melden Teilen Geschrieben 27. Januar 2023 So isses. Schau mal hier: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/reviewing-dns-concepts Vielleicht würde es schon helfen, Root Hints abzuschalten? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 27. Januar 2023 Melden Teilen Geschrieben 27. Januar 2023 Kann die FW denn nicht DNS sein? (ja, ich weiß - Cisco kann das nicht) Meine FW (SecurPoint) macht das prima, ebenso wie NTP... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.