DNS Auflösung funktioniert mit vollem FQDN nicht

[numx 10]

Hallo,

 

auf einem Server 2016 läuft der DNS Dienst und der Server fungiert als DC. Rufe ich nslookup auf wird mir der DNS-Server angeziegt. Der DNS Server für den genannten Server 2016 er ist er selber sprich die eigene IP ist beim primären DNS-Server eingetragen. Das AD funktioniert auch soweit sobald ich aber nach dem Aufruf von nslookup den vollen FQDN des Server sprich dcs.ads.firma.de auflösen will erscheint ein erstes Timeout und es dauert noch ca. 1 - 2 Sekunden und dann wird erst der Server sprich der FQDN des Servers aufgelöst. Der Servername alleine sprich dcs wird sofort ohne einen Timeout aufgelöst und hänge ich an den FQDN noch hinten einen Punkt an sprich dcs.ads.firma.de. dann wird auch sofort aufgelöst. Wenn ich mir jetzt mal im DNS den FQDN des Server in der Forward- als auch Reverse Zone ansehe dann steht der Server dort auch als dcs.ads.firma.de. drin. Somit könnte man denken weil der FQDN hinten mit Punkt endet wird dieser auch sauber aufgelöst und der FQDN ohne Punkt am Ende hinten nicht. Jetzt habe ich aber mal auf anderen DCs geschaut und da wird überall der FQDN hinten mit Punkt angezeigt also so wie dcs.ads.firma.de. dort aber wiederum funktioniert die Auflösung des FQDNs ohne Punkt am Ende ohne Probleme bzw. ohne Timeout. Kann mir dieses Phänomen jemand erklären?

 

Es funktioniert die Auflösung ohne Timeout von:

 

dcs

 

und

 

dcs.ads.firma.de. (Punkt am Ende)

 

 

aber nicht die Auflösung von:

 

dcs.ads.firma.de

 

 

Wie schon erwähnt ist es wohl normal das im DNS der FQDN hinten mit einem Punkt am Ende angegeben wird weil ich das auf vier verscheidenen DCs von unterschiedlichen Firmen gesehen habe und da funktioniert das AD auch fehlerfrei nur dort funktiniert auch die saubere Auflösung ohne Timeout vom FQDN ohne dem Punkt am Ende.

 

 

[NilsK 2.784]

Moin,

 

nutzt ihr als Domänennamen eine Domain, die es auch im Internet gibt? Dann kann das bei nslookup zu diesem Verhalten führen.

 

[Wenn (und warum) nslookup unerwartete Ergebnisse zeigt | faq-o-matic.net]
https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/

 

Wie ist es bei einem ping auf den FQDN? Gibt es da auch eine Wartezeit bei der Auflösung?

 

Gruß, Nils

[numx 10]

die Subdomain wird extern nicht genutzt nur halt die Domain firma.de. Der Server selber hat auch bisher noch keine Verbindung ins Internet sprich ist von der Außenwelt abgetrennt. Ein Ping auf dcs.ads.firma.de klappt sofort und ohne Timeout/Verlust. Nur bei nslookup erscheinen zweimal diese Timeout Meldungen bevor es dann mit der Auflösung klappt.

ich hatte noch nie solche "Probleme" mit nslookup aber wenn ich mit deinen verlinkten Artikel mal bis zum  Ende durchlese steht da:

 

Als Workaround bleibt nur, die Arbeitsweise beim Troubleshooting umzustellen: Prüfen der Namensauflösung immer über den Client-Resolver, also mit dem Browser oder über ping. Prüfen der DNS-Daten mit nslookup, aber dann mit einem „Root-Punkt“ am Ende des FQDN.

 

Das heisst ab Server 2016 oder wahrscheinlich schon Server 2012 nur noch mit Punkt am Ende per nslookup testen da es ohne Punkt immer zu Problemen kommen kann oder wie bei mir zu größeren Verzögerungen. Der Ping Test der empfohlen wird klappt ja auch auf anhieb. Seltsam unter Server 2008 hatte ich dieses "Problem" nie.

[NilsK 2.784]

Moin,

 

hat mit der Version nix zu tun. War schon immer so, auch unter anderen Betriebssystemen.

 

Was den Timeout verursacht, könnte man noch mal separat schauen, aber offenbar ist die eigentliche Namensauflösung ja nicht davon betroffen. Wichtig ist eben: nslookup ist kein "Profi-Ping", sondern macht etwas ganz anderes.

 

Gruß, Nils