DNS-Fehler: Namensauflösung nur über sekundären

[IThome 10]

Schreibe das nächste Mal bitte sinngemäss. Diese Abkürzung (wenn es tatsächlich so sein würde) hätte das gesamte Namensauflösungs- und Registrierungsverhalten verändert. IPCONFIG /ALL (sinngemäss ;)) ?

[robotroonie 10]

so, hab mich mal über vpn auf einen Client verbunden, der durchläuft und auf diesem getestet: nslookup scheitert hier (sekundärer DC ist eingetragen, wird aber nicht verwendet). Gebe ich bei nslookup den DNS-Server vor, funktioniert es mit dem Server I, aber nicht mit dem Server W-B (also wie gehabt).

 

ipconfig:

 

 

Ethernet-Adapter LAN-Verbindung:

 

 

 

Verbindungsspezifisches DNS-Suffix: abc-defg.local

 

Beschreibung . . . . . . . . . . : NVIDIA nForce Networking Controller

 

Physikalische Adresse . . . . . . : 00-11-22-2F-A5-A1

 

DHCP aktiviert . . . . . . . . . : Ja

 

Autokonfiguration aktiviert . . . : Ja

 

IP-Adresse. . . . . . . . . . . . : 192.168.82.240

 

Subnetzmaske . . . . . . . . . . : 255.255.255.0

 

IP-Adresse. . . . . . . . . . . . : ?

 

Standardgateway . . . . . . . . . : 192.168.82.42

 

DHCP-Server . . . . . . . . . . . : 192.168.82.101

 

DNS-Server . . . . . . . . . . . : 192.168.82.101

 

192.168.81.102

 

192.168.81.100

 

192.168.81.105

 

192.168.83.101

 

?

 

?

 

?

 

Primärer WINS-Server . . . . . . : 192.168.82.101

 

Sekundärer WINS-Server . . . . . : 192.168.81.101

 

192.168.81.100

 

Lease erhalten . . . . . . . . . : Dienstag, 7. Oktober 2008 21:26:03

 

Lease läuft ab . . . . . . . . . : Mittwoch, 15. Oktober 2008 21:26:03

 

 

 

nslookup dc-w-b

DNS request timed out.

timeout was 2 seconds.

Server: UnKnown

Address: 192.168.82.101

 

DNS request timed out.

timeout was 2 seconds.

 

 

 

nslookup dc-w-b dc-I

 

Server: dc-I.abc-defg.local

Address: 192.168.81.102

 

Name: dcwb.abc-defg.local

Address: 192.168.82.101

Aliases: dc-w-b.abc-defg.local

 

 

Interessant ist, dass sich die Ausschrift unterscheidet. Schreibt man die Ausgabe in eine Datei, kommt das obige. Ohne Schreiben in eine Datei kommt die Ausgabe

nslookup ServerW-B

DNS request timed out.

timeout was 2 seconds.

***Der Servername für die Adresse 192.168.82.101 konnte nicht gefunden werden:

Timed out

Server: UnKnown

Address: 192.168.82.101

 

DNS request timed out.

timeout was 2 seconds

***Zeitüberschreitung bei Anforderung an Unknown

 

 

Eigentlich gibts für den Server W-B noch einen Alias (der nicht ausgegeben wird) - sollte aber keine Relevanz haben.

[IThome 10]

Was ist bei diesem Client in den Eigenschaften der LAN-Verbindung unter

Eigenschaften Internetprotokoll - Erweitert - DNS

in Bezug auf die Auflösung unvollständiger Namen eingestellt. Werden Richtlinien für diesen Client angewendet (RSOP.MSC)

Computerkonfiguration - Administrative Vorlagen - Netzwerk - DNS-Client

Wie heissen die Reverse-Zonen ? Welche bedingten Weiterleitungen sind konfiguriert ? Welche Optionen sind im DNS-Server konfiguriert ? Was meinst Du mit "IP-Adresse. . . . . . . . . . . . : ?" ? Welchen primären DNS-Suffix hat der Client (ist normalerweise bei der Ausgabe von IPCONFIG /ALL aufgeführt) ? Hat der lokale DNS mehrere Netzwerkkarten ?

Ist alles ein wenig merkwürdig. Gibt der Client einen Multiple Label Unqualifiied Domain Name an und fragt "seinen" Server an, ist alles okay (also passen die Einträge in der Forward und in der Reverse sowohl für den angefragten Namen als auch für den angefragten DNS-Server). Gibt er einen Single Label Unqualified Domain Name an und fragt seinen Server, bekommt er keine Antwort (also u.U. ein Fehler der Auflösung unvollständiger Namen). Gibt er einen Single Label Unqualified Domain Name an und fragt den DNS-Server in der Hauptstelle, ist alles okay (also nicht die Auflösung unvollständiger Namen). Und das bei jedem Client, auf dem Server allerdings, der sich selbst als ersten DNS eingetragen hat (oder 127.0.0.1 ?) klappt es einwandfrei. Das passiert (wie ich es verstanden habe) sowohl bei der Auflösung von Aliases wie auch bei A-Einträgen. Das ergibt alles keinen Sinn (was eventuell auch an den veränderten Ausgaben von IPCONFIG /ALL liegen könnte oder an einer unglücklichen oder verdrehten Schilderung der Gegebenheiten, dass man die Zusammenhänge nicht versteht. Wir sitzen ja nicht davor und können selbst gucken). Vielleicht habe ich jetzt aber auch was übersehen und deswegen fehlt mir die Brücke. Ich hätte längst einen Sniffer angeworfen ...

Hm, ich schaue mir das morgen noch mal an, vielleicht ist es auch einfach schon zu spät ...

edit: Was passiert eigentlich bzw. was wird aufgelöst, wenn Du PING DC-W-B oder PING DCWB ausführst (wenn der lokale DNS-Server als erster Server eingetragen ist) ? Entferne auch mal alle weiteren DNS-Server, ausser den lokalen und den einen entfernten.

[Necron 71]

Hallo robotroonie,

 

könntest du kurz eine Auflistung der Standorte mit den entsprechenden Servern posten, welche IP diese haben und welchen Namen?

Denn bei dem 1.1.1.1 Server I blicke ich leider nicht mehr durch, zu verworren ist das Ganze, mit einer strukturierten Auflistung lässt sich das Problem wahrscheinlich schneller einkreisen. :)

Auch wenn danach vielleicht noch einige Fragen zum wiederholten Male beantwortet werden müssen.

[robotroonie 10]

Aktiviert ist

- Primäre und verbindungsspezifische DNS-Suffixe anhängen

- übergeordnete Suffixe..anhängen

- Adressen dieser Verbindung in DNS registrieren

 

Dies müsste der Standard-Einstellung entsprechen.

Ist übrigens der einzige Client mit Win XP x64 (sonst x32)

 

Richtlinien sollten keine Relevanz haben (z.B. Windows Update über Default Domain Policy).

 

Name der Reverse-Zonen? Ist doch die jeweilige Subnet-Bezeichnung (in umgekehrter Reihenfolge)

 

DNS-Suffix wird bei ipconfig am Client ausgegeben (steht auch ganz oben).

 

IP-Adresse. . . . . . . . . . . . : ? wird genau so ausgegeben. Hat mich auch stutzig gemacht. Werde am Montag mit einem anderen Client testen (vermutlich kommt dieser Eintrag da nicht).

 

Ping vom Client an DC W-B wird korrekt beantwortet.

Arbeiten ist in der Form ja auch nicht eineschränkt. Ich vermute aber unnötige Verzögerungen bei Arbeiten über Netz.

Ändern der NW-Kfg mache ich auch erst am Montag vor Ort.

Die obige Kfg hat auch den sekundären Wins veraltet. Dürfte aber inzwischen aktualisiert und mit einem neuen Lease erledigt sein. Will mich aber nicht mit ipconfig /release aussperren.

Die unverfälschten Ausgaben kann ich gern per PN senden.

[Necron 71]

Die unverfälschten Ausgaben kann ich gern per PN senden.

Bevor wir diesen Punkt angehen, noch eine andere Frage ist mir gerade spontan eingefallen: Auf dem Server ist nicht zufällig irgendeine Firewall aktiviert oder installiert?

[robotroonie 10]

@Necron

Das Posting von 21:33 Uhr enthält andere IP-Angaben als zuvor (Servernamen gleich)

 

Also:

 

Netz 1

192.168.81.0

Server I: 192.168.81.102 (DNS, Wins, DHCP)

Server A (Exchange): 192.168.81.100 (DNS, WINS)

Server G: 192.168.81.105 (DNS)

Gateway/Router 192.168.81.42

 

Netz II

192.168.82.0

Server W-B: 192.168.82.101 (DNS, WINS, DHCP)

Gateway/Router 192.168.82.42

 

Netz III (über Slow Link angebunden)

192.168.83.0

Server B: 192.168.83.101 (DNS, WINS, DHCP)

Gateway/Router 192.168.83.42

[IThome 10]

Es funktioniert aber auch auf den anderen Clients (x86) nicht oder ? Ich würde mal sniffen um festzustellen, welchen Server der Client eigentlich anspricht. Wenn Du das nicht willst, trage während der Diagnose nur den lokalen Server ein (sind sowieso unnötigerweise zu viele Server eingetragen). Das verhindert, dass bei Nichterreichen des lokalen Servers der externe Server benutzt wird. Und das hilft nicht gerade dabei, den Fehler einzugrenzen ...

[robotroonie 10]

keine Server-Firewall

die x32-Clients sind ebenso betroffen

Änderungen an der NW-Kfg erst am Montag vor Ort (wohl auf einem anderen Client).

[IThome 10]

Okay, dann lass und das am Montag weiter klären. Hat ja heute keinen Sinn mehr. Im übrigen bin ich mir jetzt nicht sicher, ob NSLOOKUP überhaupt versucht, den sekundären DNS anzusprechen, wenn der primäre nicht ansprechbar ist. Ich denke, jeden anderen als den primären muss man explizit angeben ...

[robotroonie 10]

nslookup tut es aber (war zumindest bei bisherigen Tests von anderen Clients diese Woche so).

Gegentest heute aus Netz I mit Angabe des DC W-B als Zwangs-DNS hat natürlich auch nichts aufgelöst

[IThome 10]

Ich meinte, dass NSLOOKUP nicht automatisch den sekundären DNS anspricht, wenn der primäre nicht erreichbar ist. Man müsste den sekundären bzw. auch jeden anderen als den primären explizit angeben.

Okay, also auch aus dem Hauptstellennetz klappt das nicht. Es ist ja aber auch nicht so, dass der Server gar nichts auflösen kann. Gibt man den FQDN an, dann klappt es ja. Sag mal, existieren die PTR-Einträge der jeweiligen Servern eigentlich nur in der Reverse-Zone ihres eigenen Netzes oder in jeder Reverse Zone ? Eventuell mit mehreren Adressen in einer Reverse Zone ?

[robotroonie 10]

Wo die Schlussfolgerung mit dem FQDN herkommt, kann ich nicht schlussfolgern.

Gebe ich nslookup dc-w-b.abc-defg.local dc-w-b ein, funktioniert es nicht

Gebe ich für den DNS auch den FQDN an, ändert das nichts:

nslookup dc-w-b.abc-defg.local dc-w-b.abc-defg.local

 

PTR-Einträge gehen doch nur in der jeweiligen Zone? Ein Pointer Eintrag eines anderen Subnets geht doch nicht? Oder sind die NameServer-Einträge gemeint? Die sind in allen 3 Reverse-Zonen vorhanden (je 5 Stk).

Was auffiel: nur das Subnet W-B hat einen Eintrag für Wins-Reverse-Lookup (abc-defg.local)

Führe ich jetzt einen nslookup vom Server W-B aus, wird standardmässig Server I genommen (ist ja heute zum primären gemacht worden). Gebe ich den Server w-b als DNS vor, erfolgt die Auflösung wie gehabt.

[IThome 10]

Post #12 von mir

"Benutze NSLOOKUP mal mit dem FQDN"

Post #13 von Dir

"Mit dem FQDN geht nslookup auch."

Also geht es nicht mit FQDN ?

In Post #13 schreibst Du

"Au dem DC W-B selbst funktioniert nslookup ja auch mit diesem selbst als DNS"

Jetzt schreibst Du in Post #28

"Gebe ich den Server w-b als DNS vor, erfolgt die Auflösung wie gehabt."

Also kann man auf dem Server selbst, wenn er sich selbst als primären DNS eingetragen hat, auch nichts auflösen ?

:confused:

[robotroonie 10]

Das bezog sich aber auf die Namensauflösung über den Server I