DNS Umstellung- SOA Anfragen
- Thread starter ek.pctech
- Start date
Meine Glaskugel sagt, daß die beiden als Slave-DNS konfiguriert sind.
Mit den SOA-Anfragen wollen sie ermitteln, ob ihre Kopie der Zone noch aktuell ist.
Dabei wenden sie sich an den ihnen (per IP) bekannten alten SOA-Server.
Nach Ablauf der Expiry-Zeit (vorletzte Zahl im Record) werden sie damit aufhören, ihre lokale Kopie verwerfen und die Zone nicht mehr bedienen.
Mit den SOA-Anfragen wollen sie ermitteln, ob ihre Kopie der Zone noch aktuell ist.
Dabei wenden sie sich an den ihnen (per IP) bekannten alten SOA-Server.
Nach Ablauf der Expiry-Zeit (vorletzte Zahl im Record) werden sie damit aufhören, ihre lokale Kopie verwerfen und die Zone nicht mehr bedienen.
Deswegen meinte meine Glaskugel (sorry, aber viel Hintergrundinformation gibst Du wirklich nicht), daß auf dem TS ein DNS-Dienst als Slave oder Cache läuft.
Eine andere Möglichkeit gibt es auch noch: Wenn in den Netzwerkeigenschaften "Addresse dieser Verbindung im DNS registrieren" angehakt ist, dann ermittelt auch eine Arbeitsstation für ihren Hostnamen und den PTR ihrer IP den zuständigen Master-DNS per SOA-Abfrage.
Was sagt denn das Event-Log?
Eine andere Möglichkeit gibt es auch noch: Wenn in den Netzwerkeigenschaften "Addresse dieser Verbindung im DNS registrieren" angehakt ist, dann ermittelt auch eine Arbeitsstation für ihren Hostnamen und den PTR ihrer IP den zuständigen Master-DNS per SOA-Abfrage.
Was sagt denn das Event-Log?
Also insgesamt gibt es 4 Domain Controller die gleichzeitig als DNS Server fungieren.
2 Alter Server 2003 und 2 neue 200R2
Die Zweite Möglichkeit von dir ist interessant da der Hacken da ist, aber
1. Warum wird das nicht von anderen Servern abgefragt.
2. SOA Anfragen kommen auch von einigen Druckern.
Das Eventlog von ?
2 Alter Server 2003 und 2 neue 200R2
Die Zweite Möglichkeit von dir ist interessant da der Hacken da ist, aber
1. Warum wird das nicht von anderen Servern abgefragt.
2. SOA Anfragen kommen auch von einigen Druckern.
Das Eventlog von ?
Fangen wir mal mit dem Terminalserver an.
Wie ist dessen IP-Konfiguration? Insbesondere die eingestellten DNS-Server?
Woher kommt die Konfiguration? Statisch? DHCP? Wer ist der DHCP-Server?
Wie ist der FQDN des Terminal-Servers? Liegt er unterhalb der Domain?
Hat der TS noch andere Netwerkinterfaces (auch virtuelle), eventuell mit anderer verbindungslokaler Konfiguration?
Wer ist für ihn Anmeldeserver? Ein 2008er? Ein 2003er? Tragen die 2003er Server noch eine R/W-Replica des AD?
Was steht beim Terminalserver im Event-Log? Insbesondere "System", alles was nicht "Info" ist?
Wie ist dessen IP-Konfiguration? Insbesondere die eingestellten DNS-Server?
Woher kommt die Konfiguration? Statisch? DHCP? Wer ist der DHCP-Server?
Wie ist der FQDN des Terminal-Servers? Liegt er unterhalb der Domain?
Hat der TS noch andere Netwerkinterfaces (auch virtuelle), eventuell mit anderer verbindungslokaler Konfiguration?
Wer ist für ihn Anmeldeserver? Ein 2008er? Ein 2003er? Tragen die 2003er Server noch eine R/W-Replica des AD?
Was steht beim Terminalserver im Event-Log? Insbesondere "System", alles was nicht "Info" ist?
Hier ist ein Link zu IP Konfig.
MOD: Bilder bitte immer als Anhang. Danke!
alles außer chicken..stimmt soweit.
IP:
100 = Terminal Server load balancing
101 = LB Adresse von diesem Terminal Server
121 = DC3 Win2008R2
122 = DC4 Win2008R2
Alle DCs replizieren untereinander. Wer der zuständige ist, kann man nicht einstellen soweit ich weiß, ist dann Zufall. Zurzeit ist der DC3 logon server
Im Eventlog steht eine ganze Menge, aber nichts bezüglich DNS.
MOD: Bilder bitte immer als Anhang. Danke!
alles außer chicken..stimmt soweit.
IP:
100 = Terminal Server load balancing
101 = LB Adresse von diesem Terminal Server
121 = DC3 Win2008R2
122 = DC4 Win2008R2
Alle DCs replizieren untereinander. Wer der zuständige ist, kann man nicht einstellen soweit ich weiß, ist dann Zufall. Zurzeit ist der DC3 logon server
Im Eventlog steht eine ganze Menge, aber nichts bezüglich DNS.
Attachments
Last edited by a moderator:
Ich glaube das ist der Richtige Ansatz, denn einige Drucker und die beiden Terminal Server „fragen/melden“ per SOA ihre eigen IP Adressen /Hostnamen.
Aber warum machen das nur diese Drucker/ Server und nicht alle?
Wenn ein Rechner (z.B. de-h-ts4.crazychicken.net) seinen Namen registrieren möchte, fragt er zunächst die eingestellten Resolver (bei Dir 10.0.2.121 und 10.0.2.122) nach dem SOA, also sowas wie "dig de-h-ts4.crazychicken.net soa". Als Antwort wird er aller Wahrscheinlochkeit nach den SOA von crazychicken.net genannt bekommen, da de-h-ts4.crazychicken.net keine eigene Zone ist.
Dieser DNS-Server wird dann mit einem (ggf. TSIG-signiertem) Update für de-h-ts4.crazychicken.net auf die IP 10.0.2.35 bedacht.
Anschließend wird noch der SOA für 35.2.0.10.in-addr.arpa ermittelt und ein Update "PTR de-h-ts4.crazychicken.net." dorthin gesendet.
Welcher Server das ist, kannst Du mit obigem Dig oder unter Windows mittels nslookup (set type=SOA) herausfinden, Vermutung ist, daß es sich um einen der neuen DCs (z.B. 10.0.2.121 handelt. TTL ist bei Windows typischerweise 1200.
Wenn die zwei Rechner sich anders verhalten als alle anderen, dann bekommen sie entweder andere SOA-Server genannt (unwahrscheinlich, aber möglich) oder haben andere Resolver eingetragen als der "Rest der Welt".
Das könnte z.B. mit einer Zuweisung per DHCP zusammenhängen, währen woanders der DNS z.B. statisch eingetragen ist.
Weitere, wenn auch etwas exotische Möglichkeit ist, daß in einer lokalen HOSTS-Datei komische Einträge stehen, ein Virus wie der DNSchanger aktiv ist oder ein anderes DNS-änderndes Programm, wie es z.B. gerne im Umfeld von 3G oder 4G-Mobilfunksoftware (UMTS-Stick) installiert wird.
Bei diesen Ausführungen gehe ich übrigens davon aus, daß keine AD-integrierten Zonen zum Einsatz kommen, da in diesem Fall Synchronisation und Update nicht über die in DNS eingebauten Mechanismen, sondern daran vorbei durch direkte Replikation der AD-Datenbank stattfinden.
Dieser DNS-Server wird dann mit einem (ggf. TSIG-signiertem) Update für de-h-ts4.crazychicken.net auf die IP 10.0.2.35 bedacht.
Anschließend wird noch der SOA für 35.2.0.10.in-addr.arpa ermittelt und ein Update "PTR de-h-ts4.crazychicken.net." dorthin gesendet.
Welcher Server das ist, kannst Du mit obigem Dig oder unter Windows mittels nslookup (set type=SOA) herausfinden, Vermutung ist, daß es sich um einen der neuen DCs (z.B. 10.0.2.121 handelt. TTL ist bei Windows typischerweise 1200.
Wenn die zwei Rechner sich anders verhalten als alle anderen, dann bekommen sie entweder andere SOA-Server genannt (unwahrscheinlich, aber möglich) oder haben andere Resolver eingetragen als der "Rest der Welt".
Das könnte z.B. mit einer Zuweisung per DHCP zusammenhängen, währen woanders der DNS z.B. statisch eingetragen ist.
Weitere, wenn auch etwas exotische Möglichkeit ist, daß in einer lokalen HOSTS-Datei komische Einträge stehen, ein Virus wie der DNSchanger aktiv ist oder ein anderes DNS-änderndes Programm, wie es z.B. gerne im Umfeld von 3G oder 4G-Mobilfunksoftware (UMTS-Stick) installiert wird.
Bei diesen Ausführungen gehe ich übrigens davon aus, daß keine AD-integrierten Zonen zum Einsatz kommen, da in diesem Fall Synchronisation und Update nicht über die in DNS eingebauten Mechanismen, sondern daran vorbei durch direkte Replikation der AD-Datenbank stattfinden.
Doch, ist eine AD Integrierte Zone.
So was wie DNSChangee kann man außer Betracht ziehen, denn die ganzen DNS anfragen gehen über die neuen Server, nur die Registrierung geht über die alten.