Nach einem Providerwechsel wurden auf der Linux-Firewall die DNS-Adressen des alten Providers gegen die DNS-Server des neuen Providers getauscht. Auf einem von mehreren internen Windows-DNS-Servern wurden die Adressen für externe DNS-Abfragen bereits vor längerem abgeändert. Da sich die DNS-Server ständig synchronisieren, dachte ich, dass auch diese Einstellung auf den weiteren DNS-Servern synchronisiert werden würde. Als auf der Firewall das Standardgateway auf den Router des neuen Providers umgestellt wurde, waren Verbindungen, die nicht über den Proxy der direkt die DNS-Server des Providers abfragt, langsam oder es ließen sich Webseiten erst nach mehrmaligen Versuchen aufrufen.
Zur Verifikation des DNS-Problems habe ich nslookup benutzt:
1 2 3 4 5 6 7 8 9 |
nslookup test.de dns2 Server: dns2.domain.local Address: 192.168.1.2 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Zeitüberschreitung bei Anforderung an dns1. |
1 2 3 4 5 6 7 |
nslookup test.de dns1 Server: dns1.domain.local Address: 192.168.1.1 Nicht autorisierende Antwort: Name: test.de Address: 91.236.xyz.xyz |
Wie oben zu erkennen ist, hatte einer der Windows-DNS-Server einen Timeout bei der Abfrage. Es empfiehlt sich selten besuchte Webseiten/Domains zum Testen zu verwenden, damit keine gecachten IP-Adressen genutzt werden. Im nächsten Schritt habe ich nslookup dann für Abfragen direkt über die externen DNS-Server sowohl des alten wie auch des neuen Providers genutzt. Dabei ergab sich das gleiche Fehlerbild, weshalb ich dann auf den Windows-DNS-Servern nachgesehen habe.
nslookup: Die Syntax ist recht einfach. Nach dem nslookup-Befehl folgen der DNS-Name der abgefragt werden soll und optional der DNS-Server der dafür verwendet werden soll. Der DNS-Server kann natürlich auch als IP angegeben werden. Gibt man keinen DNS-Server an werden die in der Netzwerkkonfiguration angegebenen DNS-Server verwendet. nslookup gibt es unter Windows und Linux.
Auf allen DNS-Servern müssen die „Weiterleitungs-DNS-Adressen“ also manuell angepasst werden. Nur die Adresszonen werden synchron gehalten! Hier würde es entgegen diesem Setup wohl mehr Sinn machen einen oder zwei eigene DNS-Server, z.B. auf der Firewall oder dem Proxy, zu verwenden und diese intern auf den Windows-DNS-Servern anzugeben um den Verwaltungsaufwand und, wenn auch in geringem Umfang, den Traffic für DNS-Abfragen geringer zu halten.
Hier passt man die Weiterleitungs-Adressen im DNS-Manager an: