Problem mit dem DNS Server

[Posseidon 10]

Hi Leute

 

Ist sicher nur ein Problem dass anfängern passiert aber ich komm nicht drauf! Hab den DNS Server nach Anleitungen eingerichtet und er funktioniert auch prinzipiell allerdings steht in der Ereignisanzeige immer folgende Meldung drin:

 

Der DNS-Server hat ein an ihn selbst adressiertes Paket auf IP-Adresse 192.168.2.254 ermittelt. Das Paket ist für den DNS-Namen "_ldap._tcp.33e60b0b-ffa4-458c-be64-e4dd38ef3a49.domains._msdcs.xxx.xxx.xxx.xxx.". Das Paket wird verworfen. Diese Situation weist in der Regel auf einen Konfigurationsfehler hin.

 

Überprüfen Sie folgende Bereiche auf Konfigurationsfehler, die die Selbstadressierung erklären:

1) Weiterleitungsliste. (DNS-Server dürfen an sich selbst keine Weiterleitung richten.)

# Habe ich gemacht weitergeleitet werden sie nur an meine zwei Provider DNS Server

2) Masterliste sekundärer Zonen.

# Sekundäre Zonen sind keine eingerichtet gibt nur eine Forward und eine Reverse Lookup Zone

3) Benachrichtigungslisten primärer Zonen.

# Gibt es auch keine da ich keine Zonenübertragung zulasse

4) Delegierungen von Teilzonen. Dürfen keinen NS-Eintrag für diesen DNS-Server enthalten, es sei denn, die Teilzone befindet sich ebenfalls auf diesem Server

# ???

5) Stammhinweise.

# ???

 

Beispiel für Selbstdelegierung:

-> Der DNS-Server "dns1.beispiel.microsoft.com" ist der primäre für die Zone "beispiel.microsoft.com".

-> Die Zone "beispiel.microsoft.com" enthält eine Delegierung von "bar.beispiel.microsoft.com" zu "dns1.beispiel.microsoft.com"

(bar.beispiel.microsoft.com NS dns1.beispiel.microsoft.com),

-> ABER die Zone "bar.beispiel.microsoft.com" befindet sich NICHT auf diesem Server.

 

Beachten Sie, dass diese Delegierungsüberprüfung (mit "nslookup" oder mit dem DNS-Manager) auf diesem DNS-Server und auf den Servern, auf die die Teilzone delegiert wurde, ausgeführt werden sollte. Es ist möglich, dass die Delegierung korrekt ausgeführt wurde, aber die primäre DNS der Teilzone einen ungültigen NS-Eintrag besitzt, der auf den Server zurückverweist. Sollte dieser ungültige NS-Eintrag auf diesem Server zwischengespeichert werden, dann werden Pakete durch den Server an sich selbst gesendet. In diesem Fall sollte der DNS-Serveradministrator für diese Teilzone den fehlerhaften NS-Eintrag entfernen.

 

 

 

Was kann das bedeuten bzw wie beheb ich das?

 

Wäre super wenn das wer wüsste

 

Verwende Windows 2k3 Server

und lauter XP SP2 Clients

bei den CLients ist der 2k3 server als erster dns eingetragen und funktioniert auch als dieser einwandfrei nur diese Meldung nervt mich irgendwie

 

Grüße Posseidon

[Jim di Griz 13]

Vielleicht hast du noch die root-zone "." eingetragen...... oder der sichere Kanal für dynamische Aktualisierung kann nicht etabliert werden......

[Posseidon 10]

wie kann ich dies nun überprüfen?? ob deine annahme stimmt?

[Jim di Griz 13]

Zu "." : unter Roothints (DNS-Server-Eigenschaften-Reiter Roothints oder Verzeichnisursprung?) ist ein "." eingetragen ..... normalerweise ein Neukonfig problem

Zur 2ten Sache sollte mehr im Ereignisprotokoll stehen.... was mich wundert ist, das du DNS Weiterleitung aktiviert hast.... wozu?.... ist das so üblich/sauberer?

[rablu 10]

Poste bitte Dein Szenario und die gesetzten Einstellungen.

 

Wieviele Netze, was soll aufgeloest und wie weitergeleitet werden?

 

DNS-Server:

wieviele, wer ist DNS-Server, Betriebssysteme der DNS-Server?

 

DNS-Zonen:

wieviele, Kennungen

Forward und Reverse Lookup-Zonen

AD-integriert, Primaere und evtl. sekundaere Zonen?

[Posseidon 10]

Also folgendes

 

Habe ein Netz Mein Heimnetz mit 4 PCs und einem Server! die alle ins internet wollen!

das ganze ist eigentlich nur zum basteln und weiterbilden da aber trotzdem!

 

NetzIP: 192.168.2.x

der DNS Server: 192.168.2.254

er ist bei allen clients als 1ster dns eingetragen!

 

Active Directory läuft auch noch drauf!

 

Wenn ein Rechner vom Internen Netz raus will dann versucht zuerst mein dns die adresse aufzulösen bei nichtschaffen wird dieser Query weitergeleitet zu einem dns meines Providers. FOlglich zwei weiterleitungen eingetragen.

 

DNS Server hat als OS: WIn2k3

 

eine Forward Lookup Zone

eine Reverse Lookup Zone

#braucht man da überhaupt mehr wenn ja für was?? verschiedene netze??

 

Was meinst du mit Kennungen?

 

Sonst hab ich an der Konfig keine Änderungen vorgenommen!

 

Danke für die Hilfe Grüße Poss

[rablu 10]

Mit Kennung meinte ich das Subnetz, was Du im letzten Posting gepostet hast.;)

 

Gehe in die DNS Verwaltungskonsole, Eigenschaften auf dem DNS-Server

Reiter Monitoring (muesste auf einem deutschen System Ueberwachen heissen)

 

Beide Checkboxen aktivieren und auf Test now. Das sollte erfolgreich sein.

 

Reiter Root Hints (auf einem deutschen System muesste das Stammhinweise oder aehnlich heissen)

Dort muessten standardmaessig die Root DNS Server (a bis m.root-servers.net) mit den IP-Adressen drin stehen.

 

Forward Zone

Dort sollte keine . Zone erscheinen. Wenn doch, loesche sie.

 

Zum Testen kannst Du nslookup verwenden:

nslookup http://www.heise.de'>http://www.heise.de

sollte 193.99.144.71 ergeben

 

nslookup 193.99.144.71

sollte http://www.heise.de ergeben

 

Weitere Tips:

Loesche den DNS-Cache auf dem DNS-Server und starte den DNS-Dienst neu

Loesche den DNS-Cache auf dem Client: ipconfig /flushdns

und teste nochmal

 

Auf dem Router muss von drinnen nach draussen der DNS-Port (Port 53) frei sein.

 

Ansonsten schau Dir mal MPSReport_DirSvc.exe an und versuche damit den Fehler einzugrenzen.

siehe http://www.microsoft.com/downloads/details.aspx?familyid=cebf3c7c-7ca5-408f-88b7-f9c79b7306c0&displaylang=en

[Posseidon 10]

hmm es erscheint nur eine Zone mit dem namen meiner domäne! in den Forward Lookup Zonen

 

der Test ist erfolgreich abgelaufen!

 

Und die Root Server sind auch alle eingetragen!

 

Den Port am Router / bzw an meiner Linux Firewall hab ich noch nicht freigegeben!

=> done yet

 

Der Test mit dem nslookup ergibt folgendes: (mit xxx.xxx.xxx ist meine Domain gemeint)

 

*** Der Servername für die Adresse 192.168.2.254 konnte nicht gefunden werden: N

on-existent domain

Server: UnKnown

Address: 192.168.2.254

 

Nicht-autorisierende Antwort:

Name: xxx.xxx.xxx

Address: yyy.yyy.yyy.yyy (meine ip)

Aliases: http://www.heise.de.xxx.xxx.xxx

 

Werde morgen mit dem Tool mein Glück versuchen! Danke derweilen für die Hilfe ansonsten melde ich mich morgen noch mal!

 

Grüße Posseidon

[rablu 10]

. Es ist möglich, dass die Delegierung korrekt ausgeführt wurde, aber die primäre DNS der Teilzone einen ungültigen NS-Eintrag besitzt, der auf den Server zurückverweist. Sollte dieser ungültige NS-Eintrag auf diesem Server zwischengespeichert werden, dann werden Pakete durch den Server an sich selbst gesendet. In diesem Fall sollte der DNS-Serveradministrator für diese Teilzone den fehlerhaften NS-Eintrag entfernen.

 

Der Test mit dem nslookup ergibt folgendes: (mit xxx.xxx.xxx ist meine Domain gemeint)

 

*** Der Servername für die Adresse 192.168.2.254 konnte nicht gefunden werden: N

on-existent domain

Server: UnKnown

Address: 192.168.2.254

 

Nicht-autorisierende Antwort:

Name: xxx.xxx.xxx

Address: yyy.yyy.yyy.yyy (meine ip)

Aliases: http://www.heise.de.xxx.xxx.xxx

 

Es wird nicht richtig weitergeleitet.

 

Schau in die Forwardzone und dort nach den Nameserver-Eintraegen (NS).

Diese scheinen fehlerhaft zu sein.

[Posseidon 10]

in meiner Forward Lookup Zone steht foglendes drin!

 

_msdcs (Symbol: Ordner leicht grau hinterlegt mit einem Blatt drauf)

_sites (Ordner)

_tcp (Ordner)

_udp (Ordner)

DomainDnsZones (Ordner)

ForestDnsZones (Ordner)

 

Nun kommt der SOA eintrag

dann der Namenserver (NS) dies ist der Name des Servers mit der Domain hintendran und der IP

dann der Server (als name steht (identisch mit übergeordnetem Ordner) drin) allerdings als Host eingetragen (A) mit seiner IP

dann nochmals der Server mit dem Servernamen und als Host (A) eingetragen und wieder seine IP

und dann kommen der Reihe nach die Clients!

 

In der FLZ ist als DNS Server MEIN Server eingetragen => das ist schon richtig oder? da ich als WEITERLEITUNGEN bei den DNS Servereigentschaften die DNS Server des Providers eingetragen habe

 

Was ist nun hier falsch?

[rablu 10]

Die Forwarszone scheint ok zu sein.

Schau Dir mal die Reverse Lookup Zone an.

Dort muessten Dein Server und Deine PCs auch auftauchen.

[Posseidon 10]

jup hier steht zuerst der SOA Eintrag drin (identisch mit übergeordnetem Ordner)

dann der Namensserver (identisch mit übergeordnetem Ordner

und dann 2 Clients mit Name=IP und nochmal der Namensserver allerdings diesmal mit Name=IP!

[Posseidon 10]

habe nun mit nslookup was getestet

 

> 193.99.144.71

Server: gandalf.mordor.posseidon.dyndns.org

Address: 192.168.2.254

 

Name: http://www.heise.de

Address: 193.99.144.71

 

> heise.de

Server: gandalf.mordor.posseidon.dyndns.org

Address: 192.168.2.254

 

Nicht autorisierte Antwort:

Name: posseidon.dyndns.org

Address: 62.47.213.198

Aliases: heise.de.posseidon.dyndns.org

 

>

 

heißt dass das die reverse lookup zone funzt nur die forward lookup zone nicht oder wie???

 

Hat wer eventuell noch hilfen oder so?

[rablu 10]

Du hast zwei Probleme mit Deinem DNS:

Zum einen haengt der anscheinend immer die parent-DNS-Domain an jede Adresse ran.

AFAIK laesst sich das in den Eigenschaften der Zonen oder im DNS Server selbst ausschalten.

 

Zum anderen verwendest Du in einem nicht oeffentlichen Netz, welches eine Internetverbindung hat, eine oeffentliche DNS-Domain. Besser Du nimmst fuer Deine Rechner als DNS-Domain eine, die fuer interne Zwecke definiert ist.

 

Z.B. .local oder eine derin RFC2606 fuer diese Zwecke festgelegten vier Top-Level-Domains .test, .example, .invalid oder .localhost. Du kannst auch eine der drei Domains example.com, example.net oder example.org nutzen. Diese sind ebenfalls fuer Testzwecke freigegeben.

 

Das Aendern der Domain und damit der DNS-Domain ist unter Windows Server 2003 moeglich.

Siehe http://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx

 

Sehr wahrscheinlich wird aber ein Neuaufsetzen der Domain der bessere Weg sein, als nachtraeglich eine Windows2003-Domain umzunennen und die mitgeschleppten DNS-Fehler zu suchen.;)

 

D.h. Datensicherung (hier v.a. an evtl. vorhandene Outlook-/OE-Profile, Benutzerprofile und an Deine eigenen Daten denken) vornehmen, dann das AD mit dcpromo vom Server und danach den DNS-Server vom Server entfernen.

 

Dann installierst Du als erstes den DNS-Server und konfigurierst den wie folgt:

 

Forwardzone:

primaere Zone und im AD integriert, Kennung: z.B. posseidon.local

Reverselookup Zone: Subnetz 192.168.2.xxx

 

Ueberpruefe, ob der Server seine IP-Adresse als Eintrag fuer den DNS-Server drin hat.

 

Ueberpruefe dann in der Reverselookup-Zone, ob dort Dein Server mit einem PTR/Zeiger-Eintrag erscheint. Wenn nein, in die Forwardzone und in die Eigenschaften des Host-Eintrages von Deinem Server und dort die sinngemaesse Checkbox PTR/Zeiger automatisch aktualisieren anwaehlen.

 

Dann die Weiterleitungen auf den/die DNS-Server Deines Providers (von Deinem Internet-Anschluss: T-Online, Arcor, Versatel, ish, etc.) einrichten und alles mit nslookup testen.

 

nslookup IP-Adresse-Deines-Servers

nslookup Provider-DNS

nslookup http://www.heise.de

 

Erst wenn das alles fehlerfrei funktioniert, den Server mit dcpromo zum DC hochstufen.

[Posseidon 10]

jup das mit dem anhängen wäre ein super ansatz nur finde ich diese Einstellung nicht!

weiß irgendwer vielleicht genaueres wo diese sich befinden könnte?

 

Die IP des DNS Servers ist in seinen netzwerkeigenschaften eingetragen

und der PTR Zeiger wurde bei der RLZ auch eingetragen!

 

Ich werde mal probieren die Domain umzubenennen wenns nicht geht kann ich imme noch neu installn! ich hab nicht viele Clients da isses egal!

 

Danke derweil! Vielleicht weißt du noch zufällig wo diese Einstellung ist!

 

Grüße Posseidon