verbindungspez. DNS Suffix funktioniert nicht!

[silversurfer12 10]

Hallo zusammen,

 

ich habe ein Problem mit einigen XP Pro SP2 Clients das sie den verbindungspezifischen

DNS Suffix bei DNS Anfragen an unseren internen DNS Server einfach nicht anhängen und

dadurch die DNS Auflösung nicht funktioniert!

 

DHCP ist auf allen Clients aktiviert und die Clients bekommen auch alle Ip Adressen,die

richtigen internen DNS Server zugewiesen,der korrekte Gateway und primäre und

verbindungsspezifische DNS Suffixe anhängen ist aktiviert.

 

mit ipconfig /all sieht man auch das alles richtig übernommen wird ....alle Einstellungen

werden vom DHCP Server richtig übermittelt.

In der DNS Suffix Search list steht richtig der primäre und der vom DHCP gelieferte

verbindungsspezifische DNS Suffix drinnen.

 

Den Host(unseren proxy) den ich auflösen möchte ist am DNS Server durch die

verbindungsspezifischen DNS Suffix auflösbar.

Wenn ich jetzt ein nslookup mache bekomme ich vom DNS Server nur non-existing Domain

zurück.Ich habe dann mal mit Etherpeek die DNS Anfragen vom Client mitgesniffert und

habe gesehen das der client immer nur den primären DNS Suffix und die übergeordnete

Domain an den Hostnamen anhängt -> das dürfte ja meiner meinung nach durch

setzten der Option unter TCP/IP "primäre und verbindungsspezifische DNS Suffixe

anhängen" nicht sein,er müsste zur Auflösung auch den verbindungsspezifische DNS Suffix

verwenden ....oder liege ich da falsch???

 

Wenn ich nslookup mit full qualified Name versuche dann funktioniert die Auflösung!

 

Also ehrlich gesagt weiss ich nicht mehr was da falsch sein sollte,ich hoffe irgendjemand

von Euch kann mir dabei helfen.Noch dazu funktioniert die Auflösung bei zig anderen

Clients die gleich konfiguriert sind(ich hab zumindest keinen Unterschied gefunden)

 

lg

Jürgen

[Hirgelzwift 10]

was steht dem im system -> computername -> ändern -> weitere für ein DNS suffix?

[IThome 10]

Erzähl doch mal (meinetwegen auch sinngemäss), welchen primären Suffix der Client hat, welchen Verbindungssuffix der Client hat, welche Zonen der DNS-Server hosted und welchen DNS-Server der Client eingetragen hat. Bekommt der Client vom DNS-Server eine negative Antwort, so dass es für den Client damit erledigt ist und er gar nicht mehr weiter fragt ?

edit: hab das mal auf nachgestellt und auf dem Server gesnifft, die Anfragen kommen alle an

[silversurfer12 10]

Also,als primärer DNS Suffix ist am Computer at.firmenname.com eingetragen.

Als verbindungspezifischer ist ooe.at.firmenname.com eingetragen -> bekommt der Client

vom DHCP Server zugewiesen.

Am Client ist der DNS Server eingetragen der alle Zonen hostet.Es gibt natürlich noch 2

zusätzliche DNS Server Einträge aber die ziehen nicht weil sowieso vom ersten DNS Server

schon eine negative Antwort kommt.

Der DNS Server hostet alle Zonen,angefangen von firmenname.com bis runter zu den

regionen z.b. ooe.at.firmenname.com.

Den Host den ich auflösen will(proxy) ist in der ooe.at.firmenname.com drinnen -> also

FQDN: proxy.ooe.at.firmenname.com

Meiner Meinung nach müsste der Client ja zuerst mit dem verbindungsp. Suffix zum

auflösen beginnen?!?!?Aber ich habe im Trace gesehen das der Client immer nur

mit proxy.at.firmenname.com und nachher mit proxy.firmennanme.com aufzulösen

versucht und daher natürlich immer eine negative Antwort vom DNS Server bekommt

...den Trace habe ich am Client mit Etherpeek gezogen!

 

Hab natürlich auch schon ein ipconfig /flushdns versucht ....keine Änderung des Verhaltens.

 

Noch mal kurz:

 

Wenn ich ein nslookup proxy mache bekomme ich eine negative Antwort vom DNS Server

Wenn ich ein nslookup proxy.ooe.at.firmenname.com mache bekomme ich eine positive

Antwort vom DNS Server ...sprich der Host proxy wird aufgelöst!

 

Ich könnte natürlich überall den FQDN eintragen wo ich diesen Host benötige z.B. im

IE Explorer unter Proxy Server proxy.ooe.at.firmenname.com,aber das geht leider bei

bestimmten Applikationen nicht weil dort der Eintrag proxy hardcodiert drinnen steht.

 

Ich hoffe ich hab mein problem halbwegs verständlich erklärt und nicht zu lang und

umständlich darüber geschrieben ;)

 

lg

Jürgen

 

Anyway, wenn ich dahinter komme was da falsch läuft oder was ich falsch annehme oder

was auch immer,werde ich es hier posten!

[IThome 10]

Hast Du mal auf einem Deiner Clients die entsprechenden Suffixe in der richtigen Suchreihenfolge hinzugefügt ("Diese DNS-Suffixe anhängen (in Reihenfolge)") und das mal getestet ... ?

edit: ich hab das mal getestet und mitgesnifft, im Standard wird zuerst der primäre Suffix angehängt und dann erst die Verbindungssuffixe. Allerdings bekommt man zwar schon eine negative Antwort (No Such Name), die bezieht sich dann beim ersten Mal aber auf die Domäne des primären Suffixes (er fragt also nach proxy.at.firmenname.com). Diesen Host gibt es nicht, also "No Such Name" und nächster Versuch mit proxy.ooe.at.firmenname.com und der sollte passen ...

Wo liegen eigentlich Deine Probleme, ausser dass NSLOOKUP nicht funktioniert ? Sniffe mal den den Vorgang, wenn Du z.B. ping proxy eingibst. NSLOOKUP scheint sich so zu verhalten, dass nach einem "No Such Name" nicht weiter gesucht wird ...

edit2: Ja, so ist es, NSLOOKUP schickt nur eine Anfrage heraus, die Suchliste kannst Du aber in NSLOOKUP anpassen /set srchl=... Ich denke, Du hast gar kein Problem ...

[silversurfer12 10]

Ich hab mal versucht die Suchreihenfolge einzugeben,dann funktioniert es auch.

 

Ich könnte das ja machen und es ist auf diesen Standort auch momentan so gemacht,weil

es anders nicht funktioniert.

Was das Problem ist unsere Clients(und es sind viele ca. 1500) sind von unseren Benutzer-

service schon längere Zeit mit "primäre und verbindungsspezifische DNS Suffixe

anhängen" konfiguriert und es funktioniert auch sonst überall,nur auf diesen einen besch... ;) Standort nicht.

Bei uns ist diese Konfiguration so gemacht worden weil wir 3 verschiedene

Internetausgänge haben und diese Regionsweise aufgeteilt sind und wenn unsere User auf einen anderen Standort kommen,bekommen sie eben von dem dortigen DHCP Server eine andere Region für den verbindungssp. Suffix zugeteilt und dort steht dann auch nur proxy in der jeweiligen Zone(wir haben insgesamt 6 verschiedene regionen) ....der User braucht dann am Client nichts mehr ändern z.B. die Einstellungen für den Proxy im IE Explorer,ganz davon abgesehen das er gar nicht die Rechte dazu hat dies zu ändern.

Es gibt auch noch 3 andere regionsspezifische Einträge die für uns wichtig sind,aber das ist

ja im Prinzip das gleiche.

 

Das mit nslookup habe ich nicht gewusst ...man lernt eben nie aus :)

Aber ich habs dann mit dem IE Explorer versucht(nur proxy eingetragen unter Proxyserver)

und der Trace zeigt das nur den primären Suffix versucht wird aufzulösen.

Ping proxy hängt auch nur den primären an und nie wird versucht auch mit dem

verbindungssp. Suffix aufzulösen ....also irgendwie bin ich ratlos

 

Ich könnte natürlich vorschlagen, das wir überall die DNS Searchlist verwenden,aber dann

fragt mich sicher unsere Arbeitsvorbereitung ob ich einen Knall habe ....überall anders

funktioniert es ja.

 

Was ich auch noch unterschlagen habe,das Problem ist erst aufgetreten als der DHCP

Server an diesem Standort getauscht wurde -> von einem Netware Server auf einen

Netware Open Enterprise Server ....vielleicht habe ich ja da noch irgendein Problem.

Aber wie gesagt,wenn ich nach dem booten(DHCP hat funktioniert) ein ipconfig /all mache

steht alles richtig in der DNS Searchlist drinnen,zuerst der primäre und dann der

verbindungsp. Suffix.(zuerst at.firmenname.com und dann ooe.at.firmenname.com)

 

Ich werd jetzt mal den neuen DHCP Server unter die Lupe nehmen und eventuell mal einen

Client neu aufsetzen ...mal sehen ob es etwas bringt.

 

Hab jetzt wieder mal einen Roman geschrieben ;) halte Euch auf dem laufenden....

[IThome 10]

Ja, das würde mich auch interessieren, den DHCP kannst Du ja ausschliessen, wenn Du auf einem Client mal einen Verbindungssuffix und natürlich eine feste IP-Adresse usw. angibst. Das Verhalten sollte so ja das Gleiche sein ...

Es gibt aber auch keinen "proxy" in at.firmenname.com ?

[Hirgelzwift 10]

dein beitrag könnte von der länge her ungefähr einer MS prüfungsfrage gleichkommen :D

 

ich hab mich mal versucht reinzudenken es will mir nicht gelingen. als ich mal darauf angewiesen war mit unterschiedlichen suffixe zu arbeiten haben wir einfach den "echten" also primären suffix in der DNS seite "DNS Suffix für diese Verbindung" eingetragen und den haken bei "DNS Sufixe dieser Verbinung in DNS Registrierung verwenden" beim client gesetzt und schon wollte alles so wie ich es wollte.

 

ich hoffe das was ich nun beigetragen habe das thema trifft oder nicht schon durch war. ich denke aber nicht! ;)

[silversurfer12 10]

Wir haben das Problem gefunden! :)

 

Es hat etwas mit den Workstation-Policys zu tun gehabt:

 

und zwar haben wir mit gpedit.msc unter Administrative Vorlagen -> Network -> DNS Client

den Punkt Connection-Specific DNS Suffix auf deaktiviert gesetzt und rebootet.

Danach wurde der verbindunsspez. Suffix zum DNS Namen auflösen wieder verwendet.

Meine Kollegen von der Arbeitsvorbereitung meinten,das wahrscheinlich irgendein Programm

das installiert wurde dies geändert hat und wenn man es deaktiviert werden wieder die

Einstellungen von XP hergenommen! ...das war jetzt grob umrissen,bin nicht so der Policy

Experte ;)

 

Danke noch mal für Eure Unterstützung!!!

[Hirgelzwift 10]

danke für die rückmeldung und wieder was gelernt :)