Jump to content

DNS Server erreichen kein öffentliches Netz


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Leute,

 

heute ruft mich ein Kunde an und sagt, er kommt nicht mehr ins Internet. Wenn er FQDN's eingibt gehts nicht, wenn er die IP eingeibt geht's.

 

Gut, klarer Fall von interner DNS Fehler (dachte ich).

 

Dort stehen 2 DNS Server. Die Clients bekommen diese per DHCP zugewiesen.

 

Alle Rechner im Netz erreichen mit ping alles. Die DNS Server erreichen alles Rechner im internen Netz und die, die in den gerouteten Netzen der Firma stehen (über ping).

 

Aber, diese Beiden erreichen keinen im öffentlichen Netz. Logisch, somit kann der DNS auch keine Anfragen an öffentliche DNSe schicken.

 

Damit die Belegschaft jetzt wenigstens über die Tage um die Runden kommt, habe ich den beiden DNSen eine Weiterleitung zu 2 anderen DNSen in einem anderen internen Netz gegeben. Jetzt können sie wieder.

 

Aber das ist ja nicht des Rätsels Lösung. Die beiden können deswegen immer noch nicht selbstständig öffentliche IPs erreichen :confused:

 

DIe Host ist sauber, die Routen sind Standardrouten, als Gateway ist der Internetrouter eingetragen (der gleiche, wie alle anderen Kisten auch)

 

ICH BIN VERWIRRT!!!!!!

Link to comment

ne, das kann es nicht sein, da ich von den beiden betreffenden Rechnern nicht mal nen Ping an eine öff. IP Adresse abestzen kann.

 

ALso erreiche ich schon pingmässig auf ne IP nichts, dann kann ich mir erst mal DNS Fehlersuche sparen.

 

Wie gesagt:

 

Alle Rechner erreichen IP mässig alles (öffentliche, interne, geroutete interne)

 

DIe beiden DNS erreichen nur die internen IP's und die gerouteten internen IP's. Auch die DNS Auflösung der internen geht.

 

Es ist einzig das Problem das die Beiden nicht in die Öffentlichkeit kommen und somit nicht mit anderen DNSen kommunizieren können

Link to comment

Ne, alle Rechner gehen über ein Gateway raus (auch die Beiden). Egal ob ich von einer Workstation, von irgendeinem Server, oder vom Gatewayrechner (ISA 2000) einen Ping in die Öffentlichkeit absetze, bekomme ich ne Rückantwort.

 

Nur die Beiden DNS Server, die wirklich auch das gleiche Gateway verwenden, die erhalten nichts (Zeitüberschreitung)

Link to comment

Werden die IPs der beiden DNS-Server (die sind diejenigen, welche nicht mal IP-technisch nach aussen pingen können?!) irgendwo in einer Firewall gefiltert?

 

Hast du mal mit dem Netmon weingstens auf einem der beiden geschaut, ob da überhaupt was in Richtung GW rausgeht, wenn ja wohin und ob irgendwas zurückkommt?

Wie weit geht ein tracert bzw. pathping?

 

 

grizzly999

Link to comment

@phoenixcp

 

Ist schon ok. Danke für Deine Hilfe.

 

@grizzly

 

Die Protokollregel habe ich mittlerweile soweit ausgeweitet, dass jeglicher Internetverkehr, zu jeder Zeit, von allen Anfragen raus darf. Ne Einschränkung hab ich dort weiter nicht.

 

Leider ist kein Netmon drauf und den bekomme ich von der Ferne auch nicht druff.

 

Ein Tracert geht mit einem Hop zum ISA und dann ist Schicht im Schacht. :confused:

 

Ein Tracert von jedem Anderen Rechner (ausser den Beiden) hopst mir bis zum Ziel

Link to comment

Jo, so wie es aussieht, ist tatsächlich der ISA der 'Showstopper'.

 

Haber gerade den Beiden Kisten ein anderes Gateway gegeben und siehe da, sie tun wie sie sollen.

 

Im ISA sehe ich aber nichts, was die Beiden blocken würde.

 

Obgleich das ja dann eine Regel bzw. Filter sein müsste, der expliziet diese beiden IP's blocken müsste.

 

Na wie auch immer. Ich fahr da mal am Donnerstag oder Freitag hin. Finde ich den Fehler nicht gleich werf ich den ISA runter und machn' neu. Ist nur ne Protokollregel und ne Serververöffentlichung. Das geht wohl dann schneller und ausserdem hab ich am Freitag wichtigeres zu tun :D

 

Danke an Euch für die Hilfe. Ich schreib das Ergebnis

Link to comment
  • 2 weeks later...

Stand der Dinge.

 

Im Augenblick laufen die Beiden Server auf dem anderen Gateway. Alles tut, wie es tun soll.

Werde also mal den ISA neu machen. Das kann allerdings dauern, da ich das nur dann kann, wenn keiner mehr in der Firma arbeitet. Und weil es nicht gerade um die Ecke ist, muss das terminlich koordiniert sein.

 

Solange das mit der Gateway Geschichte klappt, schreien sie auch nicht ;)

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...