DNS root hints lassen sich nicht entfernen BPA Warnung

[Pipeline 11]

Moin zusammen,

 

auf unseren DC (Windows Server 2016) nutzen wir DNS nur intern, für externe Auflösung haben wir Linux DNS Server in der DMZ.

Da die DCs nicht durch die Firewall an die Internet Root DNS Server kommen habe ich die Root hints entfernt.

Auch der BPA meldet diese Warnung:

"DNS: Root hint server <IP address> must respond to NS queries for the root zone " für alle Standard-Root DNS Server:
https://go.microsoft.com/fwlink/?LinkId=188803

 

Nach dem Entfernen über die DNS MMC merkte ich nächsten Tag, dass die Einträge wieder da sind.

Also:
 

Get-DnsServerRootHint | Where-Object {$_.NameServer.RecordData.NameServer -like "*.Root-Servers.net."} | Remove-DnsServerRootHint -Force

 

Sieht erstmal gut aus, aber auch da kommen die nach einer Weile wieder.

 

Wie entferne ich die überflüssigen, nicht erreichbaren Einträge und belasse nur unseren Forwarder drin? Ich würde auch gerne den Check vom Best Practices Analyzer frei von Warnings bekommen.

 

Grüße Stefan

 

Edit: @Mods: bitte das Thema nach Active Directory verschieben

 

bearbeitet 4. Dezember 2023 von Pipeline

[cj_berlin 1.138]

Moin,

 

bitte schön: https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/root-hints-reappear-after-removed

[Damian 1.401]

Hi

 

vor einer Stunde schrieb Pipeline:

Edit: @Mods: bitte das Thema nach Active Directory verschieben

Es geht primär um ein DNS-Problem, passt hier bestens.

 

VG

Damian

[Pipeline 11]

vor einer Stunde schrieb cj_berlin:

Moin,

 

bitte schön: https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/root-hints-reappear-after-removed

Wow, danke, das war flott. 
Tatsächlich, in der cache.dns stand es noch drin, und im AD auch. 

Jedoch verstehe ich das nicht "Do not use recursion for this domain" das gibt es so auf dem Forwarders Tab beim Windows Server 2016 nicht.

Dort heißt es "use root hints if forwarders are not available", und das bezieht sich auf den DNS Server und nicht auf die Domain. Hm.

 

Und nun wundere ich mich schon sehr, es kann doch nicht üblich sein, dass man manuell auf internen DCs per ADSI Edit unter DC=RootDNSServers,CN=MicrosoftDNS,CN=System,... aufräumen muss. 
Ist unser Setup so fern ab vom Standard, oder übersehe ich etwas?

 

[cj_berlin 1.138]

Moin,

nein, da muss man nichts aufräumen. Du hast dringlichere Aufgaben in Deiner Infrastruktur. Den Haken bei "Use root hints if forwarder is not available" rausnehmen und/oder die Linux-DNS als Root Hints eintragen und glücklich sein.

[Pipeline 11]

Am 5.12.2023 um 07:19 schrieb cj_berlin:

Moin,

nein, da muss man nichts aufräumen. Du hast dringlichere Aufgaben in Deiner Infrastruktur. Den Haken bei "Use root hints if forwarder is not available" rausnehmen und/oder die Linux-DNS als Root Hints eintragen und glücklich sein.

Hm, ja habe ich so. Warum dann der BPA eine Warnung für jeden der im AD als Internet DNS Root hinterlegten Server wirft ist mir dann unklar.

[cj_berlin 1.138]

Vermutlich weil der DC sie nicht erreichen kann. Trage Deine eigenen externen Forwarder als Root ein und lösche die offiziellen, dann sollte Ruhe sein - solange Deine Forwarder die Root-Zone auflösen können.

[Pipeline 11]

vor 3 Stunden schrieb cj_berlin:

Vermutlich weil der DC sie nicht erreichen kann. Trage Deine eigenen externen Forwarder als Root ein und lösche die offiziellen, dann sollte Ruhe sein - solange Deine Forwarder die Root-Zone auflösen können.

ja, aber genau das habe ich ja gemacht und dann entdeckt, dass die Einträge in der cache.dns und im AD, wie in dem von dir verlinkten Artikel, noch aufgeführt sind und daher der BPA meckert

[cj_berlin 1.138]

Laut Deinem OP hast Du die offiziellen Roots entfernt, so dass die Liste leer war, und das ist gegen RFC. Vom Ersetzen der offiziellen Roots durch eigene war nie die Rede.

 

Ich habe das gemacht und der BPA ist ruhig, laut Wireshark wird auch nicht versucht, die offiziellen Roots zu kontaktieren, wenn der BPA-Scan läuft.