Problem med at resolve domæner hostet hos GratisDNS

[e_klausen]

Hej.

Jeg driver et net med egne DNS-servere, som kører på Windows Server 2008R2.
Vi hoster vores eget domæne, firma.local, hvor vores interne servere, switche etc. ligger. Derudover bliver alle andre DNS queries sendt videre til "rigtige" DNS-servere ude i byen.

Men vi har problemer med at få resolvet en række hostnavne. Og de hostnavne har det tilfælles, at DNS-domænet er hostet hos GratisDNS.

Som regel kan jeg få resolvet et hostnavn, hvis jeg starter NSLOOKUP, skriver SET TYPE=ANY, SET CLASS=ANY og derefter resolver hostnavnet. Men det virker ikke altid.

Er der andre der har samme problem, eller har I en ide til hvad jeg kan gøre? Problemet er opstået i fredags (8. oktober).

mvh.
Erik Klausen

[Calzone]

At i har lavet en fejl? Hvad med at oplyse et domainnavn?

[CaptGlapes]

hvis du kommer med lidt flere informationer, er det nemmere at hjælpe dig.
Nu skriver du, at du har nogle windows server 2008 r2 DNS servere. Det kan konfigureres på et hav af måder.
Jeg gætter på du kører noget Active Directory Integrated DNS: firma.local og har slettet alle rodzonerne på din windows DNS, og på den måde lavet Conditional Forwarding til navneservere hos din ISP'er/Cache Forward.

Du har to spørgsmål: 1. Opsætning af Windows DNS 2. Resolving af hosts på domæner hosted hos GratisDNS - right?

[e_klausen]

Hej igen.

Jeg har egentlig kun ét spørgsmål, nemlig om andre oplever problemer med domains som er hosted hos GratisDNS. Altså hvor DNS-opslag går til GratisDNS, selve hosten ligger ikke nødvendigvis hos GratisDNS.
Det kan godt være at der er en fejl i vores DNS, men jeg er klar over at dette forum ikke er beregnet den slags.

Vores DNS er AD-integreret; det ser ud til at rodzonerne er slettet (serverne er konfigureret af en konsulent, så jeg ved det ikke med sikkerhed). Vi har kørt fejlfrit ca. 3 måneder med de pågældende servere, problemet er pludselig dukket op i fredags.

Problemet ses for eksempel når jeg forsøger at resolve adresserne www.prosa.dk, byferier.dk, www.folketsting.dk, www.geocaching.dk.

Fælles for de problematiske hostnavne er, at DNS er hosted hos GratisDNS. Jeg har prøvet at resolve hostnavne som ikke er DNS-hosted hos GratisDNS, og det går fint.

Den teori, jeg forfølger med denne mail, er at GratisDNS måske er begyndt at sende DNS-records, som Windows' DNS-funktion ikke forstår. Men i så fald ville andre end jeg have et problem.

Jeg har opdaget et symptom i mine NSLOOKUP-opslag. Jeg får at vide at der er DNS-records med unknown type. Måske opgiver Windows helt at resolve en adresse, hvis disse ukendte records dukker op?
Jeg har et klip fra NSLOOKUP, hvor jeg spørger beder ns1.gratisdns.dk om at resolve web.gratisdns.dk:

> web.gratisdns.dk
Server:  ns1.gratisdns.dk
Address:  109.238.48.13

web.gratisdns.dk        canonical name = web1.netplads.dk
web.gratisdns.dk        unknown type 46
web.gratisdns.dk        unknown type 47
web.gratisdns.dk        unknown type 46
gratisdns.dk    nameserver = ns4.gratisdns.dk
gratisdns.dk    nameserver = ns3.gratisdns.dk
gratisdns.dk    nameserver = ns2.gratisdns.dk
gratisdns.dk    nameserver = ns5.gratisdns.dk
gratisdns.dk    nameserver = ns1.gratisdns.dk
ns1.gratisdns.dk        internet address = 109.238.48.13
ns1.gratisdns.dk        AAAA IPv6 address = 2a02:9d0:3002:1::2
ns2.gratisdns.dk        internet address = 87.73.3.3
ns2.gratisdns.dk        AAAA IPv6 address = 2a01:558:4000::3
ns3.gratisdns.dk        internet address = 194.0.2.6


mvh.
Erik Klausen

[Calzone]

Dette er bestemt ikke et GratisDNS support spørgsmål... Spørg MS, du betaler for support på deres produkter.

[e_klausen]

Jeg kørte NSLOOKUP fra WinXP SP3.
Options class=any og type=any er slået til.

Det kunne tyde på at det er udrulningen af DNSSEC, der har ramt mig.
Så vidt jeg har fundet ud af, er GratisDNS netop begyndt at levere DNSSEC-relaterede records, som nogle af de første. Det betyder blot at mit problem vil brede sig...

... men ifølge slutningen af denne artikel
http://www.version2.dk/artikel/16381-saadan-indfoerer-du-dnssec-paa-dit-domaene
er jeg ikke alene! Jeg vil fortsætte løsnings-jagten hos Microsoft.


mvh. Erik Klausen

[Calzone]

Så vidt jeg har fundet ud af, er GratisDNS netop begyndt at levere DNSSEC-relaterede records, som nogle af de første.

Ja, det er så to år siden det blev offentligt men har været på serverne de sidste tre år... Så netop er vist et vidst begreb...

[CrashOverride]

Hej.

Jeg driver et net med egne DNS-servere, som kører på Windows Server 2008R2.
Vi hoster vores eget domæne, firma.local, hvor vores interne servere, switche etc. ligger. Derudover bliver alle andre DNS queries sendt videre til "rigtige" DNS-servere ude i byen.

Men vi har problemer med at få resolvet en række hostnavne. Og de hostnavne har det tilfælles, at DNS-domænet er hostet hos GratisDNS.

Som regel kan jeg få resolvet et hostnavn, hvis jeg starter NSLOOKUP, skriver SET TYPE=ANY, SET CLASS=ANY og derefter resolver hostnavnet. Men det virker ikke altid.

Er der andre der har samme problem, eller har I en ide til hvad jeg kan gøre? Problemet er opstået i fredags (8. oktober).

mvh.
Erik Klausen

Jeg kører selv normalt med AD-integretad zoner, men jeg slår dog op via RootServers og har ingen problemer på Windows2008R2 DNS servere at slå domæner op ved GratisDNS og det er også på domæner jeg ved har DNSSEC slået til.

[Wanders]

Efter at have brugt de sidste 36 timer på præcis dette problem har jeg endelig funden problemet i vores setup.

Vi har et AD baseret på 2003 servere, som virker fint. Windows 2003 DNS serverne kunne fint lave navneopslag.
Så satte jeg en 2008 R2 server op. Den kunne også fint lave navneopslag - Mod det meste af internettet. Ja faktisk var det kun gratisdns den ikke kunne fra. (men sikkert også andre steder.) Efter at have fundet denne tråd begyndte jeg at researche lidt omkring DNSSEC. Jeg begyndte at researche lidt på IPv6. (da begge endpunkter supportere dette, men netværket imellem ikke gør) Begge gav ikke det store resultat.

Så kiggede jeg på vores firewall, en Cisco PIX-525. Efter lidt pilleri med DNS Inspection, slog jeg det helt fra, og Vupti, så virkede DNS opslag fra 2008 R2 også imod gratisdns. Om det er DNSSEC der trigger dette, eller IPv6 delen af dnsopslag eller noget tredie skal jeg ikke kunne sige. Så vores løsning har været at slå DNS Inspection helt fra. Og Hvorfor det kun påvirker 2008 R2 servere og ikke 2003 servere skal jeg heller ikke kunne komme med en god forklaring på.

Så hvis I der også har dette problem også bruger en Cisco firewall, så prøv lige at slå DNS Inspection fra og se om det gør en forskel.

Mvh
Anders