externe DNS Auflösung langsam

von Holger Schmidt » Mittwoch, 21. Dezember 2005



Hallo NG,

ich habe ein W2k3 AD, 3 DC's, auf allen 3 ist der DNS installiert, einer
hat ausserdem noch einen WINS.
Die DNS sollen keine externen Adressen auflösen, sondern nur interne.
Die Zone ist AD integriert.

Rechner die externe Adressen auflösen sollen, haben einen externen DNS
Server eingetragen.

Die Auflösunf interner Adressen ist sehr schnell, kaum merlich.
Die Auflösung externer Adressen auf den Clients dauert sehr lange, ca.
13 sec.
Wie kann ich dafür sorgen das die internen DNS Server externe Adressen
sofort als unbekannt zurückmelden und dann der nächste DNS-Eintrag des
Clients bemüht wird ?


--
mfg Holger



Re: externe DNS Auflösung langsam

von Walter Steinsdorfer [MVP] » Mittwoch, 21. Dezember 2005



Hallo Holger,


Warum sollen die DNS-Server keine externen Adressen auflösen können ?


Tja, falsche Konfig. Trag dort nur die internen ein und dort eine
Weiterleitung an einen externen ( Provider ) DNS - Server, dann klappt das.
Mir fällt da kein Grund ein warum das nicht so sein soll.


--
Viele Grüsse aus dem Münchner Süden

Walter Steinsdorfer
MVP Exchange Server
www.faq-o-matic.net





Re: externe DNS Auflösung langsam

von Holger Schmidt » Mittwoch, 21. Dezember 2005



Hallo Walter,

ich möchte es nicht. :-) die Server sollen nur für intern zuständig
sein, keine Verbindung ins Internet.
dazu muss ich nämlich auch einen Proxy Client installieren, und das
gefällt mir nicht besonders.

das das funktionieren sollte ist klar

geht es denn nicht anders ?

--
mfg Holger



Re: externe DNS Auflösung langsam

von Walter Steinsdorfer [MVP] » Mittwoch, 21. Dezember 2005



Hallo Holger,


hat das irgendeinen technisch begründeten Hintergrund ?


verstehe ich jetzt nicht ganz, klär mich auf.

--
Viele Grüsse aus dem Münchner Süden

Walter Steinsdorfer
MVP Exchange Server
www.faq-o-matic.net





Re: externe DNS Auflösung langsam

von Holger Schmidt » Mittwoch, 21. Dezember 2005



>>>Warum sollen die DNS-Server keine externen Adressen auflösen können ?
hmm, ausser dem das ich paranoid bin nicht, naja, ich möchte halt keinen
Zugang der Server zum Internet zulassen


jede zusätzliche Software auf einem Server kann die Stabilität
beeinträchtigen, gerade Proxy Clients, da bin ich minimalistisch

--
mfg Holger



Re: externe DNS Auflösung langsam

von Walter Steinsdorfer [MVP] » Mittwoch, 21. Dezember 2005



Hallo Holger,


über eine GPO kannst du einen beliebigen Proxy im IE eintragen. Da muss nix
installiert werden, deswegen verstehe ich das Problem noch immer nicht.

--
Viele Grüsse aus dem Münchner Süden

Walter Steinsdorfer
MVP Exchange Server
www.faq-o-matic.net





Re: externe DNS Auflösung langsam

von Daniel Melanchthon [MSFT] » Donnerstag, 22. Dezember 2005






Dann nutze einen DNS-proxy auf der Firewall und die internen DNS-Server
nutzen diesen als Forwarder. Ohne Standardgateway können die Server nicht
ins Internet und nichts aus dem Internet auf die Server.

Du kannst nicht am Client mit mehreren DNS-Servern arbeiten, wie Du Dir das
vorstellst. Der Client wechselt auf den zeiten DNS nur, wennn der erste
*niccht* antwortet. Etwas nicht wissen ist aber auch eine Antwort. Solange
die internen DNS-Server also erreicht werden können, fragt der CLient diese
und wenn die externe Namen nicht auflösen können, dann kriegt der Client
gar keine Antwort.

Wenn die internen Server nicht erreicht werden können, schaltet der Client
auf den zweiten Server um. Er schaltet aber nicht aktiv zurück (erst nach
einem Restart). Das heißt, jetzt kann der Client keine internen Namen mehr
auflösen.

Dein Konzept ist broken. Du brauchst ein wenig TCP/IP-Grundwissen.

--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.



Re: externe DNS Auflösung langsam

von Holger Schmidt » Donnerstag, 22. Dezember 2005






das das per GPO geht ist mir klar, aber 1. nutzen wir den IE nicht und
2. nützt mich das nichts für pings aus der Kommandozeile

also doch Proxy Client , leider

--
mfg Holger



Re: externe DNS Auflösung langsam

von Holger Schmidt » Donnerstag, 22. Dezember 2005







hört sich erstmal gut an, kann das der ISA2000 ?


das ist definitiv nicht so, sorry, ich kann jederzeit interne sowie
externe Namen auflösen und per Ethereal konnte ich auch mitloggen das
immer mit der Abfrage beim 1. eingetragenen DNS angefangen wird.

es mag zwar theoretisch nicht funktionieren, aber die Praxis sagt etwas
anderes. es ist halt von der Kommandozeile langsam, wenn ich einen
Rechner anpingen will, der nicht im internen Netzwerk ist

hier die Beschreibung < XXXX@XXXXX.COM > der
Situation, das ganze ist beliebig reproduzierbar.

das trifft mich hart, ehrlich

es funktioniert ja alles, nur eben die pings aus der Kommandozeile sind
verzögert, und das stört mich etwas.

Internetzugriff mit Firefox etc. funktioniert einwandfrei.


--
mfg Holger



Re: externe DNS Auflösung langsam

von Daniel Melanchthon [MSFT] » Donnerstag, 22. Dezember 2005







Ja. Darunter läuft ja ein Windows und dort kannst Du einen DNS-Server als
Caching DNS-Proxy aufsetzen.


Ich habe mir Deine Traces mal angesehen. Wenn Deine internen Server nicht
selbst Rootserver sind (also die "."-Zone nicht haben), dann versuchen sie,
externe Namen selbst aufzulösen, indem sie die Root-Server befragen wollen.
Wenn sie das nicht können, gibt es nach einem Timeout den "Server failure"
zurück. Eigentlich müßte der Server, wenn Du Dein Konzept richtig umsetzt,
sofort ein "Gibt es nicht" zurückliefern.

Bei einem Server Failure schaltet der Client auf den nächsten Server um und
landet zum Schluß bei Deinem dritten eingetragenen Server und löst die
Internet Server auf. Dann benutzt er aber nur noch den externen Server, was
Deiner internen Auflösung hinderlich ist.


Den Timeout bekommst Du so nicht los. Wenn Du die Server zu Rootservern
machst, dann wird der Client nicht mehr umschalten. Ich würde mit einem
DNS-Proxy auf dem ISA arbeiten und den Servern im internen Netzwerk kein
Default Gateway geben, wenn Du nicht willst, daß sie ins Internet kommen
sollen. Stattdessen brauchen sie dann statische Routen auf bekannte Ziele,
falls Du mehr als ein Subnetz im LAN hast.

Allerdings mußt Du dann noch die Windows Updates irgendwie einspielen
können. Dafür würde ich dann einen WSUS einsetzen, der entsprechend über
den ISA Webproxy die Patches für alle herunterlädt und vorhält.


Habe ich nachgelesen. Der Knackpunkt ist der "Server failure", der
zurückkommt. Probiere das doch mal mit internen Servern aus, wenn diese
Rootserver sind. Würde mich wirklich interessieren, denn mit einem
Netzwerksniffer habe ich es selbst noch nicht nachverfolgt.

HOW TO: Convert a DNS Server to a Root DNS Server
http://support.microsoft.com/kb/231794/en-us


So hart war das nicht gemeint ;-)

--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.



Re: externe DNS Auflösung langsam

von Holger Schmidt » Donnerstag, 22. Dezember 2005



Hallo Daniel,



das werde ich mir mal ansehen, danke für den Hinweis

nun, das ist nicht so, er fragt immer wieder zuerst den 1. DNS




er fragt wirklch immer wieder zuerst den 1. DNS, was hätte ich davon
dich anzulügen. in meinem trace kann ich das wunderbar sehen.
auch andere Programme wie mein ftp Client sind einwandfrei

das kann ich machen

ich habe einen WSUS im Einsatz, hatte auch vorher schon den SUS, tolle
Sache, funktioniert übrigens auch einwandfrei

ich denke das die Methode nicht mehr funktioniert wenn die Server
Root-Server sind, dann gibt sicher ein richtiges "no such name"
allerdings werde ich das erst mal in einer testumgebung probieren, da
sind die Produktionsserver nicht so toll geeignet

;-) wieder froh


--
mfg Holger



Re: externe DNS Auflösung langsam

von Frank Röder » Donnerstag, 22. Dezember 2005



Hallo ihr beiden,


Das kann ich mir eigentlich nicht vorstellen. Interessant wäre, welche
Clients Du einsetzt. Ich bilde mir ein, in einem Artikel von MS etwas
gelesen zu haben, was in Richtung "DNS Fallback" der Clients ging.
Allerdings bezog sich das auf Windows 2003 glaube ich.
Poste bitte mal, was Du für Clients einsetzt.


--
Viele Grüße

Frank Röder



Re: externe DNS Auflösung langsam

von Daniel Melanchthon [MSFT] » Donnerstag, 22. Dezember 2005







Wer wird denn gleich von "Lügen" sprechen. Das Verhalten des CLient
Resolvers läßt sich nur nich in wenigen Worten abhandeln. Schau mal hier,
da findest Du die Details:

DNS Query Process
http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prjj_ipa_uneg.asp

Specifying DNS Servers
http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prjj_ipa_usmz.asp

Querying DNS Servers
http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prjj_ipa_bsmz.asp

Querying DNS Servers
http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prjj_ipa_bsmz.asp


Das ist für Dein Netz aber auch nicht wirklich von Belang, denn Du willst
ja jetzt, daß die Clients die internen Server befragen und diese als
Forwarder den DNS-Server des ISA befragen. Da kannst Du nicht mehr die
internen Server zu Rootservern machen.

--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.



Re: externe DNS Auflösung langsam

von Holger Schmidt » Donnerstag, 22. Dezember 2005



Hallo Daniel,



:-)


danke für die Infos, werde ich mir mal anlesen

och, nur mal interessehalber


--
mfg Holger



Re: externe DNS Auflösung langsam

von Holger Schmidt » Donnerstag, 22. Dezember 2005



Hallo Frank,



Windows XP SP2 aktuelle Patches (über WSUS)

--
mfg Holger



If you have any questions, you can contact us: admin#mofeel.net     Spam Report