ztrewq
Aug 14, 2019
view2233
view3
0
Goto Top

Windows DNS-Server mit aktivierter DNSSEC-Validierung: SERVFAIL bei bestimmten CDN-Abfragen

GermanQuestionWindows NetworkMicrosoft
Hallo zusammen,

hab hier ein für mich nicht mehr nachvollziehbares Problem:

Windows DNS-Server (hab hier 2012 + 2019 - beide betroffen) mit aktivierter DNSSEC-Validierung bekommt bei manchen CDN-Abfragen Schluckauf und spuckt dann nur noch SERVFAIL-Meldungen aus, z.B. hier:

Resolve-DnsName cdn.valofe.com -server <dns-server-ip>

Resolve-DnsName : cdn.valofe.com : DNS-Serverfehler
In Zeile:1 Zeichen:1
+ Resolve-DnsName cdn.valofe.com -server <dns-server-ip>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (cdn.valofe.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName

Manchmal funktioniert die Abfrage direkt am Anfang (vor allem wenn der DNS-Server neugestartet und Cache gelöscht wurde) und für die nächsten paar Minuten ist auch alles gut. Aber irgendwann kommt dann nur noch der DNS-Serverfehler zurück und der geht dann manchmal erst wieder weg, wenn ich den DNS-Server neustarte + Cache lösche.

Manchmal ist es aber auch so, dass die erste Abfrage fehlschlägt und erst die nächste dann funktioniert. Das hab ich vor allem dann, wenn ich keine DNS-Weiterleitung zu unserem DNS-Resolver drin habe, sondern einfach die Root-Zonen nutze.

Im Grunde spielt aber das Weiterleitungsziel keine Rolle, ich habe unsere IPFire-Firewall (Unbound als DNS-Resolver), die Google-DNS-Server, Digitalcourage-DNS, Cloudflare u. Root-Zonen getestet. Überall gabs spätestens nach ein paar Minuten wieder Auflösungsprobleme mit obiger CDN-Abfrage. Wenn ich unsere Firewall direkt als Resolver nutze, funktioniert die Auflösung übrigens immer:

Resolve-DnsName cdn.valofe.com -server <ipfire-ip>

Name                           Type   TTL   Section    NameHost
----                           ----   ---   -------    --------
cdn.valofe.com                 CNAME  300   Answer     cdn.valofe.com.cdngc.net
cdn.valofe.com.cdngc.net       CNAME  300   Answer     cdn.valofe.com.wtxcdn.com

Name       : cdn.valofe.com.wtxcdn.com
QueryType  : A
TTL        : 20
Section    : Answer
IP4Address : 119.207.67.20


Name       : cdn.valofe.com.wtxcdn.com
QueryType  : A
TTL        : 20
Section    : Answer
IP4Address : 222.122.14.16


Name       : cdn.valofe.com.wtxcdn.com
QueryType  : A
TTL        : 20
Section    : Answer
IP4Address : 14.0.115.211


Name       : cdn.valofe.com.wtxcdn.com
QueryType  : A
TTL        : 20
Section    : Answer
IP4Address : 14.0.113.222


Name       : cdn.valofe.com.wtxcdn.com
QueryType  : A
TTL        : 20
Section    : Answer
IP4Address : 14.0.113.220


Name       : cdn.valofe.com.wtxcdn.com
QueryType  : A
TTL        : 20
Section    : Answer
IP4Address : 14.0.112.124


Name                   : wtxcdn.com
QueryType              : SOA
TTL                    : 60
Section                : Authority
NameAdministrator      : webmaster.glb0.lxdns.com
SerialNumber           : 1422577239
TimeToZoneRefresh      : 10800
TimeToZoneFailureRetry : 3600
TimeToExpiration       : 604800
DefaultTTL             : 60

Die DNSSEC-Validierung ist im IPFire ebenfalls aktiviert und macht hier keine Probleme.

Achso und nochwas: deaktiviere ich die DNSSEC-Validierung im Windows DNS-Server, funktioniert die DNS-Auflösung solcher CDN-Abfragen problemlos. Bin hier etwas überfragt, was für ein Problem der Windows DNS-Server da hat. Einer ne Idee?

gruß oli
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 485009

Url: https://administrator.de/contentid/485009

Printed on: April 19, 2024 at 11:04 o'clock

3 Comments
Latest comment
Goto Top
Member: ztrewq
ztrewq Aug 16, 2019 at 17:41:55 (UTC)
Goto Top
Nutzt niemand die DNSSEC-Validierung (ich ging sogar nach Anleitung hier im Forum vor) des Windows DNS-Servers und kann mal testen, ob er obige Domain (cdn.valofe.com) mehrmals problemlos auflösen kann? Ich hatte irgendwo noch eine andere CDN-Domain, die ebenfalls Probleme macht, vlt finde ich die ja noch. Hülfe :F.
Member: airlebnis
airlebnis Sep 04, 2019 at 13:47:20 (UTC)
Goto Top
Hallo Oli,

wir haben bei unserem DNS Server auf Windows Server 2012 R2 scheinbar das gleiche Problem.
Aufgefallen ist es mir z.B. bei static.adobelogin.com
Mit cdn.valofe.com kann ich es aber auch reproduzieren.

Weiter, als dass es am DNSSEC liegt, war ich aber auch noch nicht gekommen. In einer Testumgebung auf einem frisch installieren System kam der Fehler auch im Moment, als ich DNSSEC aktiviert habe.

Mit der Testumgebung bin ich aktuell noch am Experimentieren aber bisher ohne Erfolg.

Grüße
Stefan
Member: ztrewq
ztrewq Sep 04, 2019 at 15:58:15 (UTC)
Goto Top
Wenn man die Domains (sind übrigens beides cnames) das erste Mal auflöst, funktioniert es meistens, solange die Ergebnisse im DNS-Cache bleiben, bzw. die TTL abgelaufen ist auch noch danach. Aber nach 2-3 erneuten Abfragen bekommt man dann die SERVFAILs. Bei mir ist auch manchmal die Antwort verkkürzt, dann fehlt bei meiner obigen Resolve-DnsName Abfrage der untere Teil ab "Name : wtxcdn.com". Bin leider kein DNS-Spezi um das weiter aufzudröseln. Ich weiß nur, dass unbound als Resolver auf unserer Firewall das Problem nicht hat.
GermanQuestionWindows NetworkMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment