DNS Auflösung nach einigen Stunden unvollständig
-
@tpf kannst du das mal an einem Beispiel festmachen? Wie fragst du ab? Per Windows nslookup?
So können wir erstmal versuchen das Ganze nachzustellen und anschließend ggf. die Konfiguration abgleichen. -
Servus,
ich erkläre es mal anhand von netgate.com
Antwort regulär vom lokalen DNS. Und ja, ich mache nslookup unter Windows:
netgate.com
Server: [192.168.0.4]
Address: 192.168.0.4Nicht autorisierende Antwort:
netgate.com internet address = 208.123.73.84
netgate.com nameserver = ns1.netgate.com
netgate.com nameserver = ns2.netgate.com
netgate.com
primary name server = ns1.netgate.com
responsible mail addr = admin.netgate.com
serial = 2018066778
refresh = 28800 (8 hours)
retry = 7200 (2 hours)
expire = 604800 (7 days)
default TTL = 600 (10 mins)
netgate.com MX preference = 30, mail exchanger = aspmx5.googlemail.com
netgate.com MX preference = 30, mail exchanger = aspmx4.googlemail.com
netgate.com MX preference = 10, mail exchanger = aspmx.l.google.com
netgate.com MX preference = 20, mail exchanger = alt2.aspmx.l.google.com
netgate.com MX preference = 30, mail exchanger = aspmx3.googlemail.com
netgate.com MX preference = 30, mail exchanger = aspmx2.googlemail.com
netgate.com MX preference = 20, mail exchanger = alt1.aspmx.l.google.com
netgate.com text ="MS=ms13799047"netgate.com text =
"v=spf1 ip4:208.123.73.76 ip4:208.123.73.28 ip4:208.123.73.199 ip6:2610:160:11:11::76 ip6:2610:160:11:32:250:56ff:fe9e:75ff include:_spf.google.com ~all"
netgate.com text ="google-site-verification=TfaikiulLdV3FMp4iP3-T-VLJ5Oyz6GMuFC2fZ-RhGY"netgate.com text =
"MS=ms56431056"netgate.com AAAA IPv6 address = 2610:160:11:11::84
ns1.netgate.com internet address = 208.123.73.80
ns1.netgate.com AAAA IPv6 address = 2610:160:11:11::80
ns2.netgate.com internet address = 162.208.119.38
ns2.netgate.com AAAA IPv6 address = 2610:1c1:3::108
aspmx2.googlemail.com internet address = 64.233.165.26
alt1.aspmx.l.google.com internet address = 64.233.165.27Irgendwann, nach einer Stunde z.B., bekomme ich zurück:
netgate.com
Server: [192.168.0.4]
Address: 192.168.0.4Nicht autorisierende Antwort:
netgate.com internet address = 208.123.73.84
netgate.com nameserver = ns1.netgate.com
netgate.com nameserver = ns2.netgate.com
netgate.com
primary name server = ns1.netgate.com
responsible mail addr = admin.netgate.com
serial = 2018066778
refresh = 28800 (8 hours)
retry = 7200 (2 hours)
expire = 604800 (7 days)
default TTL = 600 (10 mins)ns1.netgate.com internet address = 208.123.73.80
ns1.netgate.com AAAA IPv6 address = 2610:160:11:11::80
ns2.netgate.com internet address = 162.208.119.38
ns2.netgate.com AAAA IPv6 address = 2610:1c1:3::108
aspmx2.googlemail.com internet address = 64.233.165.26
alt1.aspmx.l.google.com internet address = 64.233.165.27Mehr nicht. Ändere ich den Server im nslookup in diesem Moment einfach auf 8.8.8.8, bekomme ich wieder die richtige, vollständige Antwort.
Starte ich nun den Dienst unbound neu, gehts für den Zeitraum X wieder. Und frage ich extern, also außerhalb des Netzes der pfS ab, sind die Antworten grundsätzlich korrekt.
-
Moin,
wie ist der DNS Resolver konfiguriert? Als Resolver oder Forwarder? Ich nutze ihn als Resolver und habe bisher keine Probleme feststellen können.
-
Servus,
resolver. Der WIndows-DNS hat als Weiterleitung die pfS drin und die dann die DNS des ISP.Es ist grad ziemlich schräg. Ich war gedanklich schon bei einem Domainoverride, der die Windows-Domäne an den Windows-DNS schickt und alles andere direkt pfS -> Internet.
-
Du hast aber nicht noch unter "general setup" DNS Server eingetragen, oder? Der Haken bei "disable dns forwarder" sollte auch aktiviert sein.
Wenn du eine AD Domäne hast, leitet der DC dann seine Internetanfragen an die Sense oder macht der auch direkt die Rootanfragen?
-
@bahsig said in DNS Auflösung nach einigen Stunden unvollständig:
Du hast aber nicht noch unter "general setup" DNS Server eingetragen, oder? Der Haken bei "disable dns forwarder" sollte auch aktiviert sein.
Der Haken war nicht drin - nachgeholt. Ansonsten habe ich keine DNS-Server konfiguriert. Allerdings hatte ich auch damit mal Tests gemacht. Also auch 8.8.8.8 eingetragen und den Haken bei "allow DNS override" raus.
Was ich gerade sehe: unter General settings im Resolver ist der Haken bei DNS Query Forwarding - Enable Forwarding Mode" NICHT gesetzt. Muss der nicht rein?
Der DC leitet die Anfragen, die er nicht beantworten kann, an den nächsten DNS über ihm weiter. in diesem Fall an die pfS.
-
"enable forwarding" beim Resolver raus. Er soll ja direkt die Anfrage beim Rootserver stellen und nicht noch irgendein anderen DNS Server fragen.
Was mir aufgefallen ist, dass bei dir beim Aufruf von nslookup neben Server nich der DC steht, sondern eine IP Adresse. Hattest du das selbst abgeändert?
-
Hier mal meine Einstellungen zum Resolver. Bei Network Interface habe ich die Carp-Vips und den localhost angegeben. Bei outgoing Interface nur den localhost.
-
@bahsig said in DNS Auflösung nach einigen Stunden unvollständig:
"enable forwarding" beim Resolver raus. Er soll ja direkt die Anfrage beim Rootserver stellen und nicht noch irgendein anderen DNS Server fragen.
Alles klar - danke. Dann lass ich das mal so.
Was mir aufgefallen ist, dass bei dir beim Aufruf von nslookup neben Server nich der DC steht, sondern eine IP Adresse. Hattest du das selbst abgeändert?
Ja, das war ich. Da ich in der Konsole zw. den DNS-Servern umher gesprungen bin.
-
Ok, der Haken hat nichts gebracht. Die DNS-Auflösung funktionierte nun einige Stunden und geht nun nicht mehr vollständig.
-
Was du noch versuchen könntest. Nimm mal die DNS Weiterleitungen auf dem DC raus und setz den Haken unten bei den "Root Hints". Dann sollten Internetanfragen der Clients direkt vom DC beantwortet werden. Wenn das klappt, dann würde ich die Sense neu aufsetzen.
-
Der Haken sitzt schon. Ich habe die Weiterleitung der pfS jetzt raus und am DC direkt auf 8.8.8.8 gesetzt. Das läuft so nun einige Stunden.
pfS löst falsch auf, DC über Google korrekt.
Wahnsinn...
-
Setz mal am DC keinen Forwarder. Vielleicht liegt es ja auch am DNS deines ISPs. Man kann den DC auch als Relsover konfigurieren.
-
Ich habe schon alle möglichen freien DNS-Server ausprobiert. Problem tritt überall auf, sobald die pfS im Spiel ist.
-
Und wenn du den Forwarding Mode im DNS Resolver setzt und dann unter "general setup" deinen Router oder Google DNS einträgst, tritt das Problem dann auch auf?
-
Das muss ich noch versuchen. Ich lass es jetzt mal bis morgen früh so laufen, danach stell ich um.
Merci soweit!
-
Ich poste gerade noch einmal den aktuellen Zustand der pfS, der sich ohne Unbound-Neustart auch nicht beheben lässt:
nslookup192.168.0.1 pfS
192.168.0.4 DCserver 192.168.0.1
DNS request timed out.
timeout was 2 seconds.
Standardserver: [192.168.0.1]
Address: 192.168.0.1google.de
Server: [192.168.0.1]
Address: 192.168.0.1Nicht autorisierende Antwort:
google.de nameserver = ns3.google.com
google.de nameserver = ns4.google.com
google.de nameserver = ns2.google.com
google.de nameserver = ns1.google.comserver 192.168.0.4
Standardserver: [192.168.0.4]
Address: 192.168.0.4google.de
Server: [192.168.0.4]
Address: 192.168.0.4Nicht autorisierende Antwort:
google.de internet address = 172.217.23.163
google.de nameserver = ns3.google.com
google.de
primary name server = ns1.google.com
responsible mail addr = dns-admin.google.com
serial = 204305905
refresh = 900 (15 mins)
retry = 900 (15 mins)
expire = 1800 (30 mins)
default TTL = 60 (1 min)
google.de MX preference = 30, mail exchanger = alt2.aspmx.l.google.com
google.de text ="v=spf1 -all"google.de AAAA IPv6 address = 2a00:1450:4001:81f::2003
google.de ??? unknown type 257 ???ns3.google.com internet address = 216.239.36.10
ns3.google.com AAAA IPv6 address = 2001:4860:4802:36::a -
@bahsig said in DNS Auflösung nach einigen Stunden unvollständig:
Und wenn du den Forwarding Mode im DNS Resolver setzt und dann unter "general setup" deinen Router oder Google DNS einträgst, tritt das Problem dann auch auf?
Ja, auch dann tritt das Problem auf. Gerade eben getestet.
