JumalaSika ltd - Fotolia
Strukturiertes Handeln hilft bei Problemen der Namensauflösung
Wenn DNS in Netzwerken nicht richtig konfiguriert ist, kann es schnell passieren, dass Workloads nicht funktionieren, die Abläufe zu langsam sind oder andere Probleme auftreten.
Funktioniert die Namensauflösung in Windows nicht richtig, zeigt sich das meistens darin, dass Workloads nicht funktionieren, die Benutzeranmeldung langsam ist, teilweise Internetverbindungen ausfallen und vieles mehr. Wir zeigen in diesem Beitrag mit welcher strukturierten Vorgehensweise sich die Probleme meistens lösen lassen.
Sind die richtigen DNS-Server eingetragen?
Funktioniert auf einem Computer die Namensauflösung nicht oder sind Workloads und die Benutzeranmeldung zu langsam, sollte zuerst sichergestellt werden, welche DNS-Server ein Client überhaupt nutzt. In Windows geht das in der grafischen Oberfläche mit ncpa.cpl. In den Eigenschaften der Netzwerkverbindung und dann von IPv4 ist bei Allgemeinzu sehen, welche DNS-Server verwendet werden. Beim Einsatz von DHCP lässt sich die Information in der Befehlszeile mit ipconfig /all erreichen.
Namensauflösung testen
Wenn klar ist, welche DNS-Server eingetragen sind, lässt sich die Namensauflösung testen. Windows verwendet immer den ersten eingetragenen DNS-Server. Der zweite DNS-Server wird nur dann verwendet, wenn der erste DNS-Server nicht online ist. Gibt der erste DNS-Server bei einer Abfrage einen Fehler zurück, ist das für Windows kein Grund den zweiten DNS-Server zu verwenden. Der zweite Server spielt nur dann eine Rolle, wenn der erste Server ausgeschaltet oder nicht mit dem Netzwerk verbunden ist.
Wenn die Internetverbindung nicht funktioniert, hilft es in der Befehlszeile mit nslookup ein paar Adressen zu testen, um zu überprüfen, ob die Namensauflösung generell funktioniert. Ein Beispiel dafür ist:
nslookup www.google.de
Wenn die Namensauflösung funktioniert, zeigt nslookup die IP-Adressen der jeweiligen Geräte an. Wenn keine richtige Antwort erscheint, ist entweder der falsche DNS-Server auf dem Client eingetragen oder der verwendete DNS-Server kann die eingegebene Domäne nicht auflösen, oder hat keine Verbindung zum Internet.
Wenn weitere DNS-Server zur Verfügung stehen, können in nslookup diese testweise mit der Auflösung befragt werden. Dazu wird einfach die IP-Adresse des DNS-Servers mit angegeben, zum Beispiel:
nslookup www.google.de 8.8.8.8
Fehlerbehebung auf dem DNS-Server: Zonen und Dynamische Registrierung überprüfen
Wenn die verwendeten DNS-Server die angefragte Domäne eigentlich auflösen sollten, dies aber nicht können, muss natürlich die Konfiguration des DNS-Servers überprüft werden. Im Fall der Verwendung eines Windows DNS-Servers, erfolgt das direkt auf dem Server, zum Beispiel dem Domänencontroller in Active Directory.
In der DNS-Verwaltungskonsole (dngmgmt.msc) ist zunächst bei Forward-Lookupzonen zu sehen für welche DNS-Zonen der Server verantwortlich ist. Innerhalb der Zonen sind wiederum die Einträge zu finden, die der Server auflösen kann. Wenn der Server zwar für die Zone zuständig ist, aus der ein Computername aufgelöst werden soll, die Namensauflösung auf dem Client aber nicht funktioniert, kann es daran liegen, dass der jeweilige Rechner keinen Eintrag in der Zone hat und daher die Namensauflösung nicht funktioniert.
Entweder muss dann der Server manuell eingetragen werden, oder die dynamische Registrierung der Clients muss in den Eigenschaften der Zone richtig konfiguriert werden. Wenn die Einstellung auf Nur sichere steht, dürfen sich nur Computer registrieren, die Mitglied in Active Directory sind.
Wenn sich ein Client nicht in der DNS-Zone registriert, sollte zunächst überprüft werden, ob auch hier in den Netzwerkeinstellungen der richtige DNS-Server eingetragen ist. Wenn diese Einstellung richtig gesetzt ist, kann in der Befehlszeile mit ipconfig /registerdns die dynamische Registrierung erneut angestoßen werden. Nach kurzer Zeit sollte der Eintrag in der DNS-Zone erscheinen, wenn die dynamische Registrierung richtig eingetragen ist.
Sind die richtigen Namensserver in der DNS-Zone eingetragen?
Damit die Namensauflösung richtig funktioniert, sollte darüber hinaus sichergestellt sein, dass die DNS-Server, die in der jeweiligen Zone bei Nameserver zu finden sind, auch eine Namensauflösung für die Zone durchführen können.
Wenn die Namensauflösung zum Beispiel in Active Directory nicht richtig funktioniert, liegt es teilweise daran, dass sich die Domänencontroller nicht richtig replizieren, auf denen die DNS-Dienste laufen. Beim Einsatz von Active Directory sind DNS-Zonen normalerweise in Active Directory integriert. Das heißt, dass die DNS-Daten nicht auf dem Server gespeichert werden, sondern in Active Directory. Durch die AD-Replikation kommen die Daten dann einheitlich auf die einzelnen DNS-Server in Active Directory.
DNS-Weiterleitungen richtig konfigurieren
Wenn ein DNS-Server eine Zone nicht direkt hostet und auch nicht als sekundärer DNS-Server einer Zone verantwortlich ist, leitet der Anfragen, die er selbst nicht beantworten kann an die DNS-Server weiter, die auf der Registerkarte Weiterleitungen eingetragen sind. Hier ist es sinnvoll zu testen, ob auf dem Server selbst die Namensauflösung zum Weiterleitungsserver funktioniert. Wenn zum Beispiel als Weiterleitungsserver der Google DNS-Server 8.8.8.8 eingetragen ist, dann kann über den folgenden Befehl überprüft werden, ob der Server selbst Internetdomänen auflösen kann:
nslookup www.google.de 8.8.8.8
Wenn keine Weiterleitungsserver eingetragen sind, dann verwendet der DNS-Server die DNS-Server, die auf der Registerkarte Stammhinweise eingetragen sind. Für die Namensaulösung zwischen Netzwerken ist es wichtig, dass der TCP-Port 53 freigeschaltet ist, da hierüber die DNS-Abfragen verschickt werden.
Bei Bedingte Weiterleitung lassen sich wiederum Weiterleitungen von bestimmten Domänen an bestimmte DNS-Server konfigurieren. Dadurch können Anfragen an definierte Domänen zu bestimmten DNS-Servern weitergeleitet werden. Das kommt vor allem in Active-Directory-Umgebungen zwischen Domänenstrukturen vor, oder in Unternehmen, mit mehreren Active-Directory-Gesamtstrukturen.