DNS Server erreichen kein öffentliches Netz

[Wildi 10]

Hallo Leute,

 

heute ruft mich ein Kunde an und sagt, er kommt nicht mehr ins Internet. Wenn er FQDN's eingibt gehts nicht, wenn er die IP eingeibt geht's.

 

Gut, klarer Fall von interner DNS Fehler (dachte ich).

 

Dort stehen 2 DNS Server. Die Clients bekommen diese per DHCP zugewiesen.

 

Alle Rechner im Netz erreichen mit ping alles. Die DNS Server erreichen alles Rechner im internen Netz und die, die in den gerouteten Netzen der Firma stehen (über ping).

 

Aber, diese Beiden erreichen keinen im öffentlichen Netz. Logisch, somit kann der DNS auch keine Anfragen an öffentliche DNSe schicken.

 

Damit die Belegschaft jetzt wenigstens über die Tage um die Runden kommt, habe ich den beiden DNSen eine Weiterleitung zu 2 anderen DNSen in einem anderen internen Netz gegeben. Jetzt können sie wieder.

 

Aber das ist ja nicht des Rätsels Lösung. Die beiden können deswegen immer noch nicht selbstständig öffentliche IPs erreichen

 

DIe Host ist sauber, die Routen sind Standardrouten, als Gateway ist der Internetrouter eingetragen (der gleiche, wie alle anderen Kisten auch)

 

ICH BIN VERWIRRT!!!!!!

[Jim di Griz 13]

versuch doch mal als admin ipconfig /flushdns mit deinen alten Einstellungen.

einen gehackten/verwirrten DNS-Server hab ich so alle 2 Wochen uptime

[Wildi 10]

ne, das kann es nicht sein, da ich von den beiden betreffenden Rechnern nicht mal nen Ping an eine öff. IP Adresse abestzen kann.

 

ALso erreiche ich schon pingmässig auf ne IP nichts, dann kann ich mir erst mal DNS Fehlersuche sparen.

 

Wie gesagt:

 

Alle Rechner erreichen IP mässig alles (öffentliche, interne, geroutete interne)

 

DIe beiden DNS erreichen nur die internen IP's und die gerouteten internen IP's. Auch die DNS Auflösung der internen geht.

 

Es ist einzig das Problem das die Beiden nicht in die Öffentlichkeit kommen und somit nicht mit anderen DNSen kommunizieren können

[phoenixcp 10]

Wie sieht es denn an der Stelle aus, wo deine Server eigentlich nach aussen gehen sollten.

 

Da wird ja sicher irgendwo ne Art Gateway oder sowas sein. Nicht das dort nur jemand den "Ausgang" für diese beiden Server "verschlossen" hat?

[Wildi 10]

Ne, alle Rechner gehen über ein Gateway raus (auch die Beiden). Egal ob ich von einer Workstation, von irgendeinem Server, oder vom Gatewayrechner (ISA 2000) einen Ping in die Öffentlichkeit absetze, bekomme ich ne Rückantwort.

 

Nur die Beiden DNS Server, die wirklich auch das gleiche Gateway verwenden, die erhalten nichts (Zeitüberschreitung)

[phoenixcp 10]

Und was bringt ne Neuinstallation der Netzwerkkarten bzw. ein Austausch der NIC's?

 

So wie ich dich kenne, wirst du ja sicher schon die Eventlogs der Server und des Gateways gecheckt haben. Oder? Vielleicht findet sich das was verwertbares?

 

Gruss

Carsten

[Wildi 10]

ALso ich sitz gerade in Erfurt und das Kundennetz ist in Bamberg.

 

NIC austauschen glaub ich wird nicht viel Sinn haben, es geht ja alles, ausser der Zugriff auf öff. IP's und die Logs hab ich auch schon durchgestöbert.

[phoenixcp 10]

Hm, die denkbar ungünstigste Postion an der Stelle des Fernadmins. :(

 

Sorry, aber mein Wissen damit völlig am Ende. Der nächste bitte... :)

[grizzly999 11]

Werden die IPs der beiden DNS-Server (die sind diejenigen, welche nicht mal IP-technisch nach aussen pingen können?!) irgendwo in einer Firewall gefiltert?

 

Hast du mal mit dem Netmon weingstens auf einem der beiden geschaut, ob da überhaupt was in Richtung GW rausgeht, wenn ja wohin und ob irgendwas zurückkommt?

Wie weit geht ein tracert bzw. pathping?

 

 

grizzly999

[Wildi 10]

@phoenixcp

 

Ist schon ok. Danke für Deine Hilfe.

 

@grizzly

 

Die Protokollregel habe ich mittlerweile soweit ausgeweitet, dass jeglicher Internetverkehr, zu jeder Zeit, von allen Anfragen raus darf. Ne Einschränkung hab ich dort weiter nicht.

 

Leider ist kein Netmon drauf und den bekomme ich von der Ferne auch nicht druff.

 

Ein Tracert geht mit einem Hop zum ISA und dann ist Schicht im Schacht.

 

Ein Tracert von jedem Anderen Rechner (ausser den Beiden) hopst mir bis zum Ziel

[grizzly999 11]

Dann ist so wie es aussieht der ISA (ich nehme an ISA2000) der Showstopper. Der blockt doch noch was.

Arbeitest du per RDP auf den Rechnern? Vom ISA kanst du demnach den DNs auch anpingen, und auf dem ISA arbeiten.

Sind blockierende Paketfilter für die Server gesetzt?

 

grizzly999

[Wildi 10]

Jo, so wie es aussieht, ist tatsächlich der ISA der 'Showstopper'.

 

Haber gerade den Beiden Kisten ein anderes Gateway gegeben und siehe da, sie tun wie sie sollen.

 

Im ISA sehe ich aber nichts, was die Beiden blocken würde.

 

Obgleich das ja dann eine Regel bzw. Filter sein müsste, der expliziet diese beiden IP's blocken müsste.

 

Na wie auch immer. Ich fahr da mal am Donnerstag oder Freitag hin. Finde ich den Fehler nicht gleich werf ich den ISA runter und machn' neu. Ist nur ne Protokollregel und ne Serververöffentlichung. Das geht wohl dann schneller und ausserdem hab ich am Freitag wichtigeres zu tun :D

 

Danke an Euch für die Hilfe. Ich schreib das Ergebnis

[Wildi 10]

Stand der Dinge.

 

Im Augenblick laufen die Beiden Server auf dem anderen Gateway. Alles tut, wie es tun soll.

Werde also mal den ISA neu machen. Das kann allerdings dauern, da ich das nur dann kann, wenn keiner mehr in der Firma arbeitet. Und weil es nicht gerade um die Ecke ist, muss das terminlich koordiniert sein.

 

Solange das mit der Gateway Geschichte klappt, schreien sie auch nicht ;)