Windows DNS-Server mit aktivierter DNSSEC-Validierung: SERVFAIL bei bestimmten CDN-Abfragen
Hallo zusammen,
hab hier ein für mich nicht mehr nachvollziehbares Problem:
Windows DNS-Server (hab hier 2012 + 2019 - beide betroffen) mit aktivierter DNSSEC-Validierung bekommt bei manchen CDN-Abfragen Schluckauf und spuckt dann nur noch SERVFAIL-Meldungen aus, z.B. hier:
Manchmal funktioniert die Abfrage direkt am Anfang (vor allem wenn der DNS-Server neugestartet und Cache gelöscht wurde) und für die nächsten paar Minuten ist auch alles gut. Aber irgendwann kommt dann nur noch der DNS-Serverfehler zurück und der geht dann manchmal erst wieder weg, wenn ich den DNS-Server neustarte + Cache lösche.
Manchmal ist es aber auch so, dass die erste Abfrage fehlschlägt und erst die nächste dann funktioniert. Das hab ich vor allem dann, wenn ich keine DNS-Weiterleitung zu unserem DNS-Resolver drin habe, sondern einfach die Root-Zonen nutze.
Im Grunde spielt aber das Weiterleitungsziel keine Rolle, ich habe unsere IPFire-Firewall (Unbound als DNS-Resolver), die Google-DNS-Server, Digitalcourage-DNS, Cloudflare u. Root-Zonen getestet. Überall gabs spätestens nach ein paar Minuten wieder Auflösungsprobleme mit obiger CDN-Abfrage. Wenn ich unsere Firewall direkt als Resolver nutze, funktioniert die Auflösung übrigens immer:
Die DNSSEC-Validierung ist im IPFire ebenfalls aktiviert und macht hier keine Probleme.
Achso und nochwas: deaktiviere ich die DNSSEC-Validierung im Windows DNS-Server, funktioniert die DNS-Auflösung solcher CDN-Abfragen problemlos. Bin hier etwas überfragt, was für ein Problem der Windows DNS-Server da hat. Einer ne Idee?
gruß oli
hab hier ein für mich nicht mehr nachvollziehbares Problem:
Windows DNS-Server (hab hier 2012 + 2019 - beide betroffen) mit aktivierter DNSSEC-Validierung bekommt bei manchen CDN-Abfragen Schluckauf und spuckt dann nur noch SERVFAIL-Meldungen aus, z.B. hier:
Resolve-DnsName cdn.valofe.com -server <dns-server-ip>
Resolve-DnsName : cdn.valofe.com : DNS-Serverfehler
In Zeile:1 Zeichen:1
+ Resolve-DnsName cdn.valofe.com -server <dns-server-ip>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (cdn.valofe.com:String) [Resolve-DnsName], Win32Exception
+ FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName
Manchmal funktioniert die Abfrage direkt am Anfang (vor allem wenn der DNS-Server neugestartet und Cache gelöscht wurde) und für die nächsten paar Minuten ist auch alles gut. Aber irgendwann kommt dann nur noch der DNS-Serverfehler zurück und der geht dann manchmal erst wieder weg, wenn ich den DNS-Server neustarte + Cache lösche.
Manchmal ist es aber auch so, dass die erste Abfrage fehlschlägt und erst die nächste dann funktioniert. Das hab ich vor allem dann, wenn ich keine DNS-Weiterleitung zu unserem DNS-Resolver drin habe, sondern einfach die Root-Zonen nutze.
Im Grunde spielt aber das Weiterleitungsziel keine Rolle, ich habe unsere IPFire-Firewall (Unbound als DNS-Resolver), die Google-DNS-Server, Digitalcourage-DNS, Cloudflare u. Root-Zonen getestet. Überall gabs spätestens nach ein paar Minuten wieder Auflösungsprobleme mit obiger CDN-Abfrage. Wenn ich unsere Firewall direkt als Resolver nutze, funktioniert die Auflösung übrigens immer:
Resolve-DnsName cdn.valofe.com -server <ipfire-ip>
Name Type TTL Section NameHost
---- ---- --- ------- --------
cdn.valofe.com CNAME 300 Answer cdn.valofe.com.cdngc.net
cdn.valofe.com.cdngc.net CNAME 300 Answer cdn.valofe.com.wtxcdn.com
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 119.207.67.20
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 222.122.14.16
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 14.0.115.211
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 14.0.113.222
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 14.0.113.220
Name : cdn.valofe.com.wtxcdn.com
QueryType : A
TTL : 20
Section : Answer
IP4Address : 14.0.112.124
Name : wtxcdn.com
QueryType : SOA
TTL : 60
Section : Authority
NameAdministrator : webmaster.glb0.lxdns.com
SerialNumber : 1422577239
TimeToZoneRefresh : 10800
TimeToZoneFailureRetry : 3600
TimeToExpiration : 604800
DefaultTTL : 60
Die DNSSEC-Validierung ist im IPFire ebenfalls aktiviert und macht hier keine Probleme.
Achso und nochwas: deaktiviere ich die DNSSEC-Validierung im Windows DNS-Server, funktioniert die DNS-Auflösung solcher CDN-Abfragen problemlos. Bin hier etwas überfragt, was für ein Problem der Windows DNS-Server da hat. Einer ne Idee?
gruß oli
Please also mark the comments that contributed to the solution of the article
Content-Key: 485009
Url: https://administrator.de/contentid/485009
Printed on: April 19, 2024 at 11:04 o'clock
3 Comments
Latest comment
Hallo Oli,
wir haben bei unserem DNS Server auf Windows Server 2012 R2 scheinbar das gleiche Problem.
Aufgefallen ist es mir z.B. bei static.adobelogin.com
Mit cdn.valofe.com kann ich es aber auch reproduzieren.
Weiter, als dass es am DNSSEC liegt, war ich aber auch noch nicht gekommen. In einer Testumgebung auf einem frisch installieren System kam der Fehler auch im Moment, als ich DNSSEC aktiviert habe.
Mit der Testumgebung bin ich aktuell noch am Experimentieren aber bisher ohne Erfolg.
Grüße
Stefan
wir haben bei unserem DNS Server auf Windows Server 2012 R2 scheinbar das gleiche Problem.
Aufgefallen ist es mir z.B. bei static.adobelogin.com
Mit cdn.valofe.com kann ich es aber auch reproduzieren.
Weiter, als dass es am DNSSEC liegt, war ich aber auch noch nicht gekommen. In einer Testumgebung auf einem frisch installieren System kam der Fehler auch im Moment, als ich DNSSEC aktiviert habe.
Mit der Testumgebung bin ich aktuell noch am Experimentieren aber bisher ohne Erfolg.
Grüße
Stefan