Frage / Problem DNS Windows Server

    Zitat von Hille

    Habe testweise mal die Firewall deaktiviert, leider keine Änderung. Ist generell kein Beinbruch, da die Auflösung mit öffentlichen DNS-Servern funktioniert. Trotzdem danke für eure Hilfe.

    Kann es sein, dass die Auflösung mit öffentlichen DNS-Servern "autorisierend" erfolgt (vgl. Ausgabe von nslookup im Ursprungsbeitrag)?

    Dann würde ich einmal nachsehen (bei Verwendung einer neueren Variante von Windows Server, welche leider bislang nicht näher spezifiziert wurde), ob es keine entsprechende DNS Policy gibt, welche "unautorisierende" Auflösungen blockt (siehe hier als Anhaltspunkt).

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Mein Workaround unter ubuntu ist jetzt, das von mir innig gehasste systemd-resolved neben bind zu installieren und systemd-resolved den lokalen Bind mit forwardern und ACL abzufragen. Da sollten die Logs aussagekräftiger sein, wenn dnssec mit netcup mal wieder flöten geht.

    Zitat von m_ueberall

    Kann es sein, dass die Auflösung mit öffentlichen DNS-Servern "autorisierend" erfolgt (vgl. Ausgabe von nslookup im Ursprungsbeitrag)?

    Dann würde ich einmal nachsehen (bei Verwendung einer neueren Variante von Windows Server, welche leider bislang nicht näher spezifiziert wurde), ob es keine entsprechende DNS Policy gibt, welche "unautorisierende" Auflösungen blockt (siehe hier als Anhaltspunkt).

    „Öffentliche“ DNS Server sind auch meine eigenen, die ich für verschiedene Bereiche nutze.

    Dann bleibt aber noch die Frage, warum bei einem Ping keine Pakete auf dem DNS Server im vlan ankommen ?

    Zitat von frank_m

    Ich glaube, netcup ist in diesem Fall unschuldig, da es ja die internen Nameserver des TE betrifft. Entweder sind die Nameserver nicht korrekt eingerichtet, oder der Windows Server.

    Ich denke eher, es liegt am Windows Server. Linux Server können alle problemlos Domains auflösen.

    Zitat von frank_m

    Ich glaube, netcup ist in diesem Fall unschuldig, da es ja die internen Nameserver des TE betrifft. Entweder sind die Nameserver nicht korrekt eingerichtet, oder der Windows Server.

    Das dachte ich bei einem von mir gewarteten Kisterl unlängst auch... dann hab ich DNSSEC bei sechs Domains ausgeschaltet und auf die Reload Time der tld roots gewartet... oh wunder...

    Zitat von Hille

    „Öffentliche“ DNS Server sind auch meine eigenen, die ich für verschiedene Bereiche nutze.

    Dann bleibt aber noch die Frage, warum bei einem Ping keine Pakete auf dem DNS Server im vlan ankommen ?

    -> Welcher LAN Treiber arbeitet da, um unter Windows das VLAN aufzulösen? Oder bekommst Du das zusätzliche VLAN im Form einer weiteren Netzwerkkarte, die dann untagged arbeitet, wie das bei den netcup-VLANs, die über servercontrolpanel.de angelegt werden, der Fall ist?

    Zitat von Hille

    virtio. Ja, es wurde eine weitere Netzwerkkarte über das SCP angelegt.

    Dann prüf bitte die Netzwerkmaske und IP-Adresse auf etwaige Typos. Funktioniert das auch nicht, prüf die Windows Firewall. Liegt es auch daran nicht, boote im Rettungssystem und leg die IP-Adresse dort manuell an und pinge. Geht es, ist es irgendwas mit Deinem Windows - nimm im ersten Schritt die Problembehandlung dafür. Geht es auch im Rettungssystem nicht, liegt vermutlich am VxLAN von netcup - kontaktiere dann den Suppport per E-Mail.

    Eventuell hilft auch der Workaround, ein weiteres (kostenloses) Vlan zu bestellen und des den Servern (testweise?) anstelle des anderen zuzuweisen. Geht es dort auch nicht - siehe Support.

    Der Hinweis per Wireshark bzw tcpdump nochmal zu schauen, hat mich zur Lösung des Problems geführt. Vorab nochmal eine kurze Info zum Konstrukt (vermutlich habe ich das nicht richtig beschrieben). Der Windows Server hängt nicht direkt im Internet, sondern geht per vlan über eine Linux VM als Gateway ins Internet bzw ist darüber von aussen z.B. RDP nur erreichbar. Ich nenne das mal vlan1.


    Ok, ich habe per Whireshark auf dem Windows Server sehen können, dass Ping Anfragen zur Domain Auflösung über vlan1 rausgegangen sind, obwohl laut Routing über das Interface von vlan2 hätte erfolgen müssen. Also habe ich im Interface von vlan1 die DNS Server gelöscht und im Interface von vlan2 eingetragen. Und siehe da, jetzt konnte eine Auflösung per DNS stattfinden. Jetzt kommt aber das aber ;-). Nun wird IPv4 priorisiert (das vlan2 ist nur per ipv4 erreichbar). Gebe ich folgendes ein:


    Code
    ping google.com

Ping wird ausgeführt für google.com [216.58.206.46] mit 32 Bytes Daten:
Antwort von 216.58.206.46: Bytes=32 Zeit=8ms TTL=58
Antwort von 216.58.206.46: Bytes=32 Zeit=4ms TTL=58


    Code
    ping -6 google.com

Ping wird ausgeführt für google.com [2a00:1450:4001:81c::200e] mit 32 Bytes Daten:
Antwort von 2a00:1450:4001:81c::200e: Zeit=4ms
Antwort von 2a00:1450:4001:81c::200e: Zeit=4ms


    Muss ich jetzt manuell die Priorisierung ändern, oder ist der generelle Ansatz so nicht korrekt?

    Ok, also doch Inkonsistenzen auf den Interfaces. Und wir hatten noch danach gefragt ... Was machen denn VLAN1 und VLAN2? Das wäre in den Zug wichtig gewesen, um beurteilen zu können, was da abgeht.


    Ob IPv4 oder IPv6 bevorzugt wird, kann man in Windows einstellen. https://learn.microsoft.com/de…configure-ipv6-in-windows

    Das sollte auch gelten, wenn die Namensauflösung über IPv4 erfolgt. Ich hatte bei mir zu Hause aufgrund eines Konfiiguratiionsfehlers eine Zeitlang die Situation, dass mein Nameserver nur per IPv4 und nicht per IPv6 erreichbar war. Gesehen hab ich das auch erst in einem Wireshark Log, weil auf die v6 Anfragen keine Antwort kam. Aber es hat Windows nicht davon abgehalten, weiterhin IPv6 für die Kommunikation nach Außen zu bevorzugen.


    Zitat von Hille

    Der Windows Server hängt nicht direkt im Internet, sondern geht per vlan über eine Linux VM als Gateway ins Internet bzw ist darüber von aussen z.B. RDP nur erreichbar.

    Ich hoffe, RDP hängt nicht direkt über eine Portfreigabe im Internet, sondern da ist ein VPN oder sowas dazwischen. Weil sonst rettet einen auch das Linux Gateway nicht.

    VLAN 1 dient nur als reines Gateway mit der Linux VM. Login per RDP ist nur per VPN (WireGuard) möglich.

    Im vLAN2 sind die Windows VM und ein paar Linux Server. Hier erfolgt nur die Namesauflösung per Bind, mehr nicht. Der Bind ist auf 2 separaten Linux VM installiert. Das wäre grob erklärt das ganze Konstrukt.