DNS: per nslookup gehts, per ping nicht!?

[lupo45 10]

Morgen zusammen,

 

ich hab hier ein sehr nerviges Problem. Es tritt an meiner Arbeitsstation auf (Notebook Dell Insperion 9300, WinXP), hoffe, daß jemand eine Idee hat:

Wenn ich diverse Server aus einer Domain anzupingen versuche, bzw. mit RDP connecten möchte, dann geht das nicht, weil der Name nicht aufgelöst werden kann. Was ich aber überhaupt nicht verstehen kann, denn wenn ich die Namen der Systeme mit nslookup auflösen lasse, dann funktioniert das einwandfrei! Wie kann das sein? Mein Client ist jedenfalls von der Konfig her völlig in Ordnung, bekommt alle sinnvollen Einstellungen per DHCP zugewiesen. Trotzdem muss es irgendein lokales Problem sein, denn sonst hat hier niemand so ein Problem. Wie gesagt: nslookup geht, beim ping kommt aber immer, daß er den Host nicht finden kann. So, und jetzt kommt es noch besser: nach einiger Zeit, so etwa 10-20min. funktioniert es dann wie von Geisterhand, obwohl ich nichts an irgendwelchen Einstellungen änder...

:mad:

 

Irgendeine Ahnung, was so einen merkwürdigen Effekt verursacht?

:(

[Christoph35 10]

Negatives Caching vielleicht?

 

Hast Du mal versucht, ipconfig /flushdns auszuführen?

 

Christoph

[lupo45 10]

Negatives Caching vielleicht?

 

Hast Du mal versucht, ipconfig /flushdns auszuführen?

 

Geht nslookup nicht über den Cache, also "andere Wege" als ping?? Wenn ein Host nicht gefunden wird, wird das im Cache gespeichert? Wenn der Effekt beim nächsten mal auftritt versuch ich's mal, aber ich bin da doch pessimistisch, daß das irgendwas bewirkt...

[IThome 10]

NSLOOKUP-Abfragen landen nicht im Cache (kannst Du mit IPCONFIG /DISPLAYDNS nachprüfen) und der Cache wird nicht abgefragt (kannst Du mit einem Sniffer überprüfen)

[Hirgelzwift 10]

Ich kann Christoph35 nur beipflichten. Auch wenn es schwachsinnig ist.... Wenn ein Host nicht gefunden wird dann merkt sich das der Cache des DNS Clients. nslookup benutzt den Cache nicht. Nach einem ipconfig /flushdns solltest du dann immer sofort einen ping bekommen.

[lupo45 10]

OK Jungs!

 

Werd's beim nächsten mal ausprobieren...nur bleibt dann immer noch eine Sache, die ich nicht verstehe: woher kommt der Cache-Eintrag zu dem betreffenden Host, daß der Name nicht existiert?

[IThome 10]

Du kannst ja testweise mal den Resolver-Cache des Clients abschalten ...

http://support.microsoft.com/kb/318803/en-us

[Hirgelzwift 10]

Um die Frage von Lupo zu beantworten:

 

Wenn du einen ping auf einen host absetzt merkt sich das dein Client Computer das Ergebniss für eine gewisse Zeit. Schlag mich jetzt nicht, ich glaube es sind 15 Minuten. Das gilt leider eben auch für Einträge die es zur Zeitpunkt er Abfrage nicht gibt bzw. nocht nicht repliziert sind.

 

ipconfig /flushdns in einer cmd löst das Problem, wie schon mehrfach erwähnt, sofort.

 

Oder du machst es so wie IThome vorschlägt: Schalte den Cache gänzlich ab.

[IThome 10]

Die Zeit, die ein positiv aufgelöster Name im DNS-Resolvervache verbleibt, wird von der Ursprungszone festgelegt (Windows behält einen positiven Response maximal 24 Stunden, steuerbar über "MaxCacheEntryTtlLimit"). Bei einem negativen Response bin ich mir nicht ganz sicher, ich meine aber, dass er auch maximal 24 Stunden im Cache verbleibt (diese Zeit lässt sich aber mit dem Wert "NegativeCacheTime" beeinflussen)

[Hirgelzwift 10]

@IThome: nicht ganz, ich hab jetzt mal nachgeschaut:

 

Der Eintrag ist zwar für 24 Stunden (Windows default) gültig aber es gibt einen Aktualisierungs- und Wiederholungsintervall. Das sind 15 bzw. 10 Minuten. Der Client cached auf keinen Fall den Eintrag länger als 15 Minuten. Dannach frägt er erneut beim DNS Server nach ob der Eintrag so noch OK ist.

 

Also wenn alles auf default steht :D

[IThome 10]

Gilt das mit den 15 Minuten nur für den negativen Eintrag ?

[Hirgelzwift 10]

Also ich hab jetzt gerade eine ipconfig /flushdns bei mir gemacht. Dann habe ich einen Ping auf einen lokalen Server gesetzt und mit ipconfig /displaydns gesehen das der Eintrag 3600 Sekunden lang gültig ist, also eine Stunde. Nach einem erneuten Ping wurde die Zeit auch nicht wieder auf eine Stunde gesetzt sondern die Restzeit läuft noch. Also eine neue Abfrage wird in einer Stunde stattfinden.

 

Dann habe ich einen Ping auf einen Namen abgesetzt den es nicht gibt. Leider zeigt mir /displaydns nur an das es den Eintrag nicht gibt aber es zeigt mir nicht an wann erneut der Server abgefragt wird. Ich versuche mal /displaydns in 10 Minuten wieder und schau mal ob der Eintrag dann verschwunden ist.

[IThome 10]

So hab ich es auch gemacht, einen Namen, der positiv aufgelöst wurde, hab ich seit etwa heute Mittag im Cache (externer Name, der auch im DNS-Server Cache steht). Ich habe eben auch den Cache geleert und eine fehlerhafte Abfrage durchgeführt, mal sehen, wie lange das Teil da drin steht ...

[Hirgelzwift 10]

So nach 15 Minuten ist nun der Eintrag den er nicht auslösen konnte aus ipconfig /displaydns verschwunden :D

 

Ansonsten scheint der TTL Eintrag für den Client Cache ausschlaggebend zu sein und der ist Standard 1 Stunde. Ein erneuter Ping nach 15 Minuten auf den existierenden Server hat die Zeit nicht wieder auf 3600 gesetzt.

 

Jetzt sollten wir es alle ganz genau wissen :cool:

[IThome 10]

Der Eintrag der Zone (im SOA) ist entscheidend, hab eben mal http://www.avm.de aufgelöst , dann http://www.mcseboard.de , überall unterschiedliche Werte. Auf unserem 2000 Server ist der Minimum TTL im SOA auf 1 Stunde, daher die 3600 Sekunden