Jump to content

Namensauflösung über VPN funktioniert nicht.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo zusammen,

 

ich stehe hier vor einem rätsel und komme nicht weiter.

 

über vpn wähle ich mich in die firma ein und bekomme folgende adresse

 

Windows-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : homepc

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : xxx

firmenname.local

 

Ethernetadapter Drahtlose Netzwerkverbindung 2:

 

 

PPP-Adapter 217.x.x.x:

 

Verbindungsspezifisches DNS-Suffix: firmenname.local

Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : 00-53-45-00-00-00

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.77

Subnetzmaske. . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . : 192.168.0.77

DNS-Server. . . . . . . . . . . . : 192.168.0.2

192.168.1.3

192.168.0.2

192.168.1.3

 

es ist alles richtig (dns, dhcp, ip ...) und trotzdem funktioniert die namensauflösung nicht richtig !

 

ping servername (funzt nicht)

ping servername.firmenname.local (geht)

 

 

den dns suffix gebe ich über dhcp mit (firmenname.local)

wenn ich ein nslookup auf einen firmenserver mache, bekomme ich von meinem router die meldung:

 

C:\nslookup server002

Server: speedport.ip

Address: 192.168.2.1

 

*** server002 wurde von speedport.ip nicht gefunden: Non-existent domain

 

 

wir haben zwei windows server 2003 (dc, dns) durch zwei 2008 ersetzt, seitdem hab ich (wir) das problem.

 

hat jemand einen tipp ?

Link zu diesem Kommentar

Hallo,

ich mach mal den Anfang:

 

Verbindungsspezifisches DNS-Suffix: firmenname.local

Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : 00-53-45-00-00-00

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.77

Subnetzmaske. . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . : 192.168.0.77

DNS-Server. . . . . . . . . . . . : 192.168.0.2

192.168.1.3

192.168.0.2

192.168.1.3

Ich nehme an du nutzt nicht DHCP zur Adressvergabe, sondern arbeitest mit zuzuweisenden Adressbereichen durch den RAS-Server, oder?

Wieso ist der Standardgateway eigentlich dein eigener Client?

 

C:\nslookup server002

Server: speedport.ip

Address: 192.168.2.1

 

*** server002 wurde von speedport.ip nicht gefunden: Non-existent domain

 

Wieso frägt dein Client deinen Router als DNS-Server ab? Eigentlich sollte er direkt einen deiner vier Firmen-DNS-Server fragen.

Gib nach der Einwahl via VPN an der cmd mal nur "nslookup" ein und schau, was er dir als Standardserver zeigt und teil uns das mit.

 

Trag doch auch mal DNS-Server und Suffix manuell für deine VPN-Verbindung ein.

 

Meiner Meinung nach hast du folgende beiden Probleme:

- DNS-Suffix wird nicht an Anfragen angehängt, wie es eigentlich sein sollte (weder "xxx" noch "firmenname.local"

- Eventuell falscher DNS-Standardserver (Speedport wird wohl zuerst abgefragt)

 

Ich bin mir relativ sicher, dass das Problem bei deinem Client zu suchen ist. Ich würde aber so oder so die Adressen wirklich per DHCP vergeben lassen und nicht per RAS-Adressbereich.

 

EDIT: Wie ist eigentlich deine Verbindungsreihenfolge unter "Netzwerkverbindungen" - "erweitert" - "erweiterte Einstellungen" ?

Grüßle

bearbeitet von Steven2007
Link zu diesem Kommentar

danke erstmal !

 

so, die ip-adresse bekomme ich per dhcp.

 

wieso die dns server nicht abgefragt werden :confused: keine ahnung.

 

bei nslookup bekomme ich als standardserver mein speedport router.

 

die erweiterte einstellung der netzwerkverbindung hab ich auch schon geprüft !

 

an platz 1 steht die ras verbindung

auf platz 2 die wlan karte

..

 

ich schau mir das ganze mit einem sniffer an, vielleicht verstehe ich es ja dann !

 

komisch ist nur, die probleme sind bei allen nach der serverumstellung aufgetreten :confused:

 

danke und gruß

Link zu diesem Kommentar

Wichtig festzustellen ist erst mal, ob bei Angabe eines unvollständigen Namens der Suffix überhaupt angehängt wird und wie der Speedport darauf reagiert (No Such Domain z.B.). Bei Angabe eines vollständigen Namens wird er das auch erst zum Speedport schicken und danach erst zum DNS der Gegenseite. Du musst auch mal nachsehen, wie das Routing bei bestehender VPN-Verbindung eingestellt ist (Standardgateway für das Remotenetzwerk verwenden). Aber das sieht man alles in der Ausgabe des Sniffers (Wireshark kannste z.B. nehmen) ...

Link zu diesem Kommentar

Hallo,

 

Bei Angabe eines vollständigen Namens wird er das auch erst zum Speedport schicken und danach erst zum DNS der Gegenseite

 

Aber nur, wenn der Router iterativ antwortet.

Ich gehe eher davon aus, dass der Router rekursiv reagiert, also den DNS Server vom ISP abfragt. Dieser kann dann natürlich auch nicht den internen Namen des Firmenservers auflösen....

 

 

EDIT: Mir is auch gerade eingefallen, dass der Router selbst bei iterativer Antwort ja niemals die DNS-Serveradressen der internen DNS Firmenserver nennen würde (das kann man bei den Speedports und Konsorten ja nicht einstellen).

Also wird dein Client egal, wie es der Router macht, nicht deine internen Server fragen.

 

Das ändert aber nichts an der Tatsache, dass er bei aufgebauter VPN Verbindung gleich deine internen Server fragen sollte und nicht zuerst den Router...

Grüßle

bearbeitet von Steven2007
Link zu diesem Kommentar

Naja, der Speedport hat keinen DNS-Server, antwortet also nie selbst. Er arbeitet als DNS-Proxy und leitet alles an die bei ihm konfigurierten DNS-Server weiter und leifert dann deren Antworten zurück.

Ich liefere die Snifferergebnisse morgen nach, die erklären werden, was genau passiert (der Sniffer will unter WINDOWS 7 nicht laufen :D) ...

@TO

poste bitte auch mal die Ausgabe von ROUTE PRINT bei bestehender Verbindung ...

Link zu diesem Kommentar

Hallo,

 

Naja, der Speedport hat keinen DNS-Server, antwortet also nie selbst. Er arbeitet als DNS-Proxy und leitet alles an die bei ihm konfigurierten DNS-Server weiter und leifert dann deren Antworten zurück

 

Das entspräche doch einer rekursiven Antwort, oder nicht?

 

Der entscheidende Punkt ist meiner Meinung nach aber hierzu:

 

Bei Angabe eines vollständigen Namens wird er das auch erst zum Speedport schicken und danach erst zum DNS der Gegenseite

 

Denn der Client selbst frägt nicht alle DNS Server nacheinander ab, bis einer den Namen auflösen kann, sondern schaut, ob der erste DNS Server verfügbar ist und akzeptiert dann dessen Antwort (in seinem Falle: Name kann nicht aufgelöst werden).

Sollte der erste Server nicht erreichbar sein, fragt er den zweiten ab usw.

Er frägt aber niemals den zweiten ab, wenn der erste erreichbar ist, nur weil der erste ihm vielleicht den Namen nicht auflösen konnte!

 

Und t_bern's Problem ist, dass der Client als ersten DNS Server den Speedport benutzt und nicht (so wie eigentlich eingestellt) den Firmen-DNS.

 

Das könnte natürlich auch damit zusammen hängen, dass der Client nur dann den DNS Server der Firma abfrägt, wenn eine Anfrage für einen Namen gestellt wird, der das "verbindungsspezifische DNS-Suffix" trägt.

So dass der Client bei Anfragen,die das Suffix nicht beinhalten nur den Speedport nimmt. Da weiss ich jetzt aber nicht genau, wie WinXP da reagiert und wie man das beeinflussen kann.

 

Grüßle

Link zu diesem Kommentar

Folgende Umgebung: XP-Client ist Mitglied einer Domäne (domaene.local), hat also diesen Domänennamen als primären DNS-Suffix, ebenso bekommt er diesen Domänennamen als Verbindungssuffix via DHCP zugewiesen (damit die Netzwerkverwaltungsrichtlinien korrekt funktionieren). Er hat den 10.11.11.1 Server als primären DNS-Server eingetragen. Die VPN-Verbindung bekommt eine Adresse aus dem 192.168.5.0 Bereich mit der 192.168.5.1 als DNS-Server zugewiesen. In der Verbindung wird das Remotegateway als Standardgateway benutzt. Der Verbindungssuffix der VPN-Verbindung ist REMOTE.LOCAL. In der Bindungsreihenfolge steht die LAN-Karte vor den RAS-Verbindungen. Bei bestehender Verbindung ist die Suffixsuchliste: DOMAENE.LOCAL,REMOTE.LOCAL. Die Auflösung unvollständiger Namen ist standardmässig eingestellt.

Ein PING SRV ergibt 2 DNS-Anfragen nach SRV.DOMAENE.LOCAL an den lokalen DNS-Server (10.11.11.1) mit der Antwort "No Such Name". Erst danach werden Anfragen nach SRV.DOMAENE.LOCAL und SRV.REMOTE.LOCAL an den Remote DNS-Server geschickt, wobei die erste mit "No Such Name" beantwortet wird. Die zweite Anfrage wird dann korrekt beantwortet.

Ein PING SRV.REMOTE.LOCAL wird ebenso erst an die 10.11.1.1 geschickt, mit "No Such Name" beantwortet, wonach die Anfrage dann an die 192.168.5.1 geschickt wird. Dieser Server beantwortet die DNS-Anfrage dann korrekt.

Dieses Verhalten ändert sich nicht, wenn der Haken "Standardgateway für das Remotenetzwerk verwenden" entfernt oder die Bindungsreihenfolge verändert wird.

Das Problem ist hier ja auch nicht die Namensauflösung, sondern die Auflösung unvollständiger Namen. Ein PING <FQDN> wird ja beantwortet, ein PING <Servername> dagegen nicht. Und genau deswegen müssen die Einstellungen der Auflösung unvollständiger Namen geprüft werden bzw. festgestellt werden, welche Anfrage überhaupt formuliert wird (und nicht, wo sie hingeschickt wird) ...

bearbeitet von IThome
Link zu diesem Kommentar

Hallo iThome,

 

kannst du bitte dazu:

 

Ein PING SRV ergibt 2 DNS-Anfragen nach SRV.DOMAENE.LOCAL an den lokalen DNS-Server (10.11.11.1) mit der Antwort "No Such Name". Erst danach werden Anfragen nach SRV.DOMAENE.LOCAL und SRV.REMOTE.LOCAL an den Remote DNS-Server geschickt, wobei die erste mit "No Such Name" beantwortet wird. Die zweite Anfrage wird dann korrekt beantwortet.

 

Heisst das der Client sendet DNS Anfragen zuerst an den lokalen DNS-Server 10.x, und wenn dieser nicht auflösen kann (no such name) sendet er an den remote DNS-Server 192.x ?

 

Das wirft mein bisheriges DNS-WinXP-Weltbild ja komplett durcheinander ^^. Widerspricht das nicht auch deiner Aussage hier:

 

Weiterhin wird nur der erste verfügbare DNS-Server abgefragt, sofern man nichts explizit angibt.

?

 

Kannst du uns dazu bitte noch was sagen?

 

Da du ge-edited hast mach ich das auch mal:

 

Und genau deswegen müssen die Einstellungen der Auflösung unvollständiger Namen geprüft werden bzw. festgestellt werden, welche Anfrage überhaupt formuliert wird (und nicht, wo sie hingeschickt wird) ...

 

Aber laut unserer Theorie, die besagt dass immer nur der erste verfügbare DNS-Server vernwedet wird, dürfte die Anfrage doch niemals beim Firmen-DNS ankommen, da doch immer nur der Speedport gefragt wird???

Wie kann denn dann der interne Name überhaupt aufgelöst werden?

 

Irgendwo fehlt noch was in unserem Puzzle....

 

Grüßle

Link zu diesem Kommentar

Falls der primäre (oder der sekundäre) DNS-Server antwortet, positiv oder negativ, wird der 2. Server, der auf derselben Karte konfiguriert ist, nicht mehr gefragt. Wohl aber ein primärer Server einer anderen Karte (oder der sekundäre, wenn der primäre nicht antwortet), was der Sniffer deutlich zeigt. Mit dem ersten verfügbaren Server meine ich den der LAN-Karte, der antwortet (das kann ja auch der sekundäre Server sein). Bis jetzt habe ich dieses Verhalten nur in der Kombination LAN-Karte/WAN-Karte getestet und da ist es so, wie beschrieben. Ich weiss daher nicht, ob es ein Unterschied ist, wenn ich 2 LAN-Karten mit verschiedenen DNS-Servern habe (Ich schmeiss mal ne VM an :D).

Wenn ich einen Lookup mit NSLOOKUP mache, werden zwar auch unvollständige Namen ergänzt (das war falsch weiter oben), aber sobald irgendein Server antwortet (ob positiv oder negativ), war es das. Das ist aber eine Eigenheit von NSLOOKUP. In meinem obigen Beispiel bekomme ich mit NSLOOKUP SRV keine gültige Antwort. Die Anfrage wird an den DNS-Server der LAN-Karte geschickt, negativ beantwortet und Ende. Selbst wenn alle DNS-Server der LAN-Karte nicht geantwortet hätten, würde das nicht klappen. Es würde zwar eine Anfrage an den Remote DNS-Server abgesetzt werden, allerdings mit dem falschen Suffix (DOMAENE.LOCAL, nicht REMOTE.LOCAL). Server sagt "No Such Name", NSLOOKUP schickt keine weitere Anfrage ... also auch hier wieder eine Frage der Suffixsuchliste, nicht der Namensauflösung allgemein ...

edit: Das Verhalten nur mit LAN-Karten ist gleich (habe ich eigentlich auch erwartet) ...

bearbeitet von IThome
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...