1783VAW - DNS Weiterleitung

[firefox_i]

Hallo zusammen,
ich habe einen 1783VAW mit FW. 10.50.SU15.

Mittels Site-2-Site ein permanenter VPN zu einem EF1800 gegenüber.

Status Quo:
- Entfernte Windows Domäne mit Namen "FIRMA.INT"
- ein Windows DC mit DNS und der IP x.y.z.15
- im 1783 eine DNS Weiterleitung von *.firma.int" nach x.y.z.15

Das hat jetzt jahrelang funktioniert.

Ein ping auf RECHNERNAME.firma.int hat die IP sauber aufgelöst.

Es stehen nun 2 Dinge an :
* Ersatz des aktuellen Windows Server 2019 DC durch einen auf Windows Server 2022
* zweiter DC

Da ein inplace Upgrade nicht angeraten wird ist das Vorhaben nun folgendes:
- Ändern der IP des aktuellen DC auf x.y.z.17 (das hat auch alles problemlos geklappt, alle Clients in der Domäne funktionieren)
- 2 neue DC mit x.y.z.15 und .16

Stand jetzt habe ich nur die IP Adresse geändert, die 2 neuen DCs existieren noch nicht.


Um nun schon vorbereitet zu sein dachte ich, ich stelle die DNS Weiterleitung im Router schonmal um.
Also habe ich in der DNS Weiterleitung 2 IP Adressen drin, mit Leerzeichen getrennt:
x.y.z.15 x.y.z.17

Aber:
Wenn ich jetzt einen Rechner RECHNER.firma.int anpinge, löst er den Namen nicht auf.

Drehe ich es um: x.y.z.17 x.y.z.15

Funktioniert die Auflösung.

Wo ist mein Denkfehler bzw. was mach ich da falsch?

Ich dachte dass ich gerade deshalb 2 IP Adressen eintragen kann um eben beim Fehlen eines DNS Servers auf den anderen zu wechseln.

Wäre für jeden Hinweis dankbar.

S.

[firefox_i]

Okay, knapp 800 mal hat sich jemand das angeschaut und keine Antwort?

Ist es zu trivial und offensichtlich?

S.

[Dr.Einstein]

Okay, knapp 800 mal hat sich jemand das angeschaut und keine Antwort?

Sind doch nur Bots/Crawler...

Der Lancom Mechanismus basiert auf die Transaction ID. Sollte die erste Anfrage scheitern, der Client aber eine neue DNS Transaction ID erzeugen, wird wieder der 1. DNS Server verwendet. Du kannst das relativ schnell prüfen indem du dich via SSH (oder LanTracer) auf den Router einloggst und den DNS Trace startest:

Code: Alles auswählen

trace # dns

ggf noch mit @ <Quell-IP-Adresse> filtern trace # dns @ 192.168.1.100. Dann startest du einen Versuch. Mit Ping z.B. kannst du das meist nicht prüfen, da hier kein 2. Versuch erzwungen wird. Bei Fragen poste hier gerne den Trace. Schade, dass Lancom nicht den Dienstzustand des Servers abfragt und für x Minuten speichert. Stattdessen wird dieser komische Mechanismus mit der Transactions ID verwendet, den nicht mal Lancom Geräte zu 100% verwenden.

[backslash]

Hi firefox_i,

Ich dachte dass ich gerade deshalb 2 IP Adressen eintragen kann um eben beim Fehlen eines DNS Servers auf den anderen zu wechseln.

genau dafür ist das da - dazu muß aber auch der DNS-Client mitspielen, d.h. er muß Anfragen wiederholen und in der Wiederholung die den gleichen Quellport und die gleiche Transaction-ID nutzen, wie in der originalen Anfrage. Dann erkennt das LANCOM, daß der DNS-Server gewechselt werden soll.

Gruß
Backslash

[firefox_i]

Ist das wieder so ein spezielles "LANCOM macht es anders" Ding?

Wenn ich als DNS Server den Router eingetragen habe und dort eine Weiterleitung, dann wäre meine - ja vielleicht naive - Erwartung, dass das unabhängig vom Client ist.

Der Router merkt "oh die Anfrage muss ich weiterschicken" (wegen der angegebenen Domäne) und leitet die Anfrage weiter - erstmal völlig transparent für den Client, der bekommt davon ja nix mit. Und wenn die erste Anfrage fehlschlägt, dann fragt der LANCOM selbstständig den anderen an ohne dass er dem Client erstmal sagt "Sorry. ging nicht"....aber das scheint irgendwie nicht der Fall zu sein.

Ich nutze WIndows 11.....von daher ist das ja auch nicht unbedingt ein unbekanntes OS.

Ich häng da nachher mal nen Sniffer dran und schau mir das mal an.

[firefox_i]

Nabend zusammen.

Ich habe nen Trace erstellt und dann einen nslookup [RECHNERNAME] eines Rechner mit angehängter Domäne abgesetzt der im "gegenüberliegenden" Netz, also in Netz durch den VPN Tunnel liegt,

Code: Alles auswählen

[DNS] 2026/02/02 19:02:52,004  Devicetime: 2026/02/02 19:02:56,535
DNS Rx (INTRANET): Src-IP [IP-LOKAL].194, RtgTag 0
Transaction ID: 0x0004
Flags: 0x0100 (Standard query, No error)
Queries
  [NAME ZUM AUFLÖSEN]: type A, class IN

STD A for [NAME ZUM AUFLÖSEN]
DnsGetDest: Match found: forwarding [NAME ZUM AUFLÖSEN] to [IP-GEGENUEBER].15 [IP-GEGENUEBER].17
Not found in local DNS database => forward to next server

[DNS] 2026/02/02 19:02:52,004  Devicetime: 2026/02/02 19:02:56,535 [info] : 
create new source map entry for [IP-LOKAL].194
using DNS server [IP-GEGENUEBER].15

[DNS] 2026/02/02 19:02:53,994  Devicetime: 2026/02/02 19:02:58,538
DNS Rx (INTRANET): Src-IP [IP-LOKAL].194, RtgTag 0
Transaction ID: 0x0005
Flags: 0x0100 (Standard query, No error)
Queries
  [NAME ZUM AUFLÖSEN]: type AAAA, class IN

STD AAAA for [NAME ZUM AUFLÖSEN]
DnsGetDest: Match found: forwarding [NAME ZUM AUFLÖSEN] to [IP-GEGENUEBER].15 [IP-GEGENUEBER].17
Not found in local DNS database => forward to next server

[DNS] 2026/02/02 19:02:53,994  Devicetime: 2026/02/02 19:02:58,538 [info] : 
create new source map entry for [IP-LOKAL].194
using DNS server [IP-GEGENUEBER].15

Scheinbar versucht er das 2 mal aber immer auf den ersten Eintrag in der Liste der Weiterleitungen.
Der andere wird garnicht versucht.

S.

[firefox_i]

Was mir gerade einfällt....

Da gabs mal nein Beitrag:
fragen-zur-lancom-systems-routern-und-g ... ml#p102860

Könnte das weiterhelfen?

Unter (Kommunikation -> Protokolle -> IP-Parameter) habe ich zwar nen Namen vergeben aber da ist quasi alles 0.0.0.0 bis auf den ersten NBNS, da hab ich den gegenüberliegenden Router drin.

Sollte ich da vielleicht als IP Adresse die des lokalen Routers mit 255.255.255.255 als Maske und die beiden DNS Server eintragen?



S.

[Dr.Einstein]

Deine Transaktions ID unterscheidet sich in den beiden Anfragen:

Transaction ID: 0x0004
Transaction ID: 0x0005

= Lancom geht nicht auf den Sekundären ...

Du musst mal von der Endanwendung her gucken, da klappts meist. CMD Tools verhalten sich mit Absicht anders.

[firefox_i]

= Lancom geht nicht auf den Sekundären ...

Du musst mal von der Endanwendung her gucken, da klappts meist. CMD Tools verhalten sich mit Absicht anders.

Naja....das mag ja schon sein, aber der erste Ansatz um Probleme zu suchen ist doch immer entweder ein Ping oder ein NSlookup.
Das wird einem - korrekterweise - hier doch immer gebetsmühlenartig angeraten "kannst pingen, funktioniert die Namensauflösung".,....

Und wenn diese eben nicht funktioniert dann ist es irgendwie unangenehm.

Könnte denn ein Eintrag in der Tabelle der IP Parameter weiterhelfen?

S.

[backslash]

Hi firefox_i

Ist das wieder so ein spezielles "LANCOM macht es anders" Ding?

nein...

Wenn ich als DNS Server den Router eingetragen habe und dort eine Weiterleitung, dann wäre meine - ja vielleicht naive - Erwartung, dass das unabhängig vom Client ist.

ist es auch...

Der Router merkt "oh die Anfrage muss ich weiterschicken" (wegen der angegebenen Domäne) und leitet die Anfrage weiter - erstmal völlig transparent für den Client, der bekommt davon ja nix mit.

genau so ist es auch

Und wenn die erste Anfrage fehlschlägt, dann fragt der LANCOM selbstständig den anderen an ohne dass er dem Client erstmal sagt "Sorry. ging nicht"....aber das scheint irgendwie nicht der Fall zu sein.

woran soll das LANCOM den erkennen, daß es nicht funktioniert hat?
genau: Daran, daß der Client die Anfrage wiederholt.
Und genau das macht er bei dir aber nicht: die zweite Anfrage kommt mit einer anderen Transaction-ID und ist damit *KEINE* Wiederholung...

Der DNS-Forwarder merkt sich nicht den Inhalt der Anfragen und prüft dann, ob zufällig jemand die gleiche Anfrage nochmal stellt - denn dann wäre er nicht transparent für ihm unbekannte Anfrage-Typen...
Er merkt sich nur IP-Adresse, Quell-Port und Transaction-ID, denn das sind die Parameter, die benötigt werden, um die Antwort des DNS-Servers an den anfragenden Client zustellen zu können.

Dabei ist es i.Ü. egal, welche Applikation oder welcher Host eine Anfrage wiederholt - wichtig ist nur, daß irgendwer eine Anfrage wiederholt. Das führt dazu, daß für 5 Minuten der zweite Server genutzt wird, bevor wieder auf den ersten zurückgeschwenkt wird. Der zweite Server ist halt "nur" als Backup zu sehen

Könnte denn ein Eintrag in der Tabelle der IP Parameter weiterhelfen?

nein, denn auch da gilt, daß zum Umschalten auf den zweiten Server eine Wiederholung notwendig ist...


Gruß
Backslash

[Dr.Einstein]

woran soll das LANCOM den erkennen, daß es nicht funktioniert hat?
genau: Daran, daß der Client die Anfrage wiederholt.
Und genau das macht er bei dir aber nicht: die zweite Anfrage kommt mit einer anderen Transaction-ID und ist damit *KEINE* Wiederholung...

Andere Hersteller beobachten die erste DNS-Anfrage, und prüfen,. ob bis zu einem konfigurierbaren Timeout (Default 1000-2000ms) eine Rückantwort kommt. Kommt diese nicht, wird intern für x Minuten der primäre DNS-Server für Weiterleitungen gesperrt. Nichts mit Transaction-ID.

[firefox_i]

Kommt diese nicht, wird intern für x Minuten der primäre DNS-Server für Weiterleitungen gesperrt. Nichts mit Transaction-ID.

Das wollte ich auch gerade schreiben.
LANCOM scheint das aber nicht zu machen uns in sofern ist die DNS Weiterleitung - zumindest aus meiner Sicht - in einem Windows Netzwerk eher suboptimal gelöst, wenn die Kommandozeilenwerkzeuge da zu solchen Effekten führen.

Ich meine wie sich ping und nslookup von einem Hersteller wie MS verhalten sollte bekannt sein und da eben andere Hersteller bei weitergeleiteten DNS Anfragen reagieren steht ja schon oben.

Aber egal. Das ist nun so und wenn auch die Eintragungen in den IP Parametern nix bringen, dann brauch ich da zumindest nix machen und ihc habe auch nix falsch konfiguriert.

Ist ja schonmal was

S.