DNS-Server mit Weiterleitung funktioniert nicht

[mfrank]

Hallo,

ich habe einen Lancom mit 3 internen LAN-Netzen

LAN1: 192.168.0.x
LAN2: 192.168.4.x
LAN3: 192.168.5.x

Im LAN1 wird in Microsoft AD mit 2 DC betrieben. Dort wird auf den Windows Server ein DNS- und DHCP-Server betrieben.
Für LAN2 und LAN3 übernimmt der LANCOM die Funktionen DHCP und DNS-Server.

Im Lancom ist als eigene Domäne nichts eingetragen. Außerdem sind drei Sub-Domänen definiert:
firma.local --> LAN1
privat.local --> LAN2
haus.local --> LAN3

Zudem ist noch eine DNS-Weiterleitung definiert:
*.firma.local --> 192.168.0.2 192.168.0.3

Das Problem ist nun, dass bei einer DNS-Abfrage von "host1.firma.local" der Lancom eine Anfrage an den Windows-Server "192.168.0.2" sendet, jedoch mit den Namen "host1.firma.local.firma.local". Der Windows DNS-Server akzeptiert die Anfrage nicht "Query refused", da er die Domäne nicht versteht.
Ich weiß nicht, wieso der LANCOM zu dem angefragten FQDN nochmals die Domäne hinten anhängt. Hat irgendjemand eine Idee, welche Einstellungen eventuell falsch sind?

Router: 1926VAG-5G FW: LCOS 10.90.0221 (RU3)

[Jirka]

Hallo,

Die "Eigene Domäne" müsste hier auf local gesetzt werden (sie lautet vermutlich firma.local).

Und die Sub-Domänen müssten gesetzt werden auf:
firma
privat
haus

Viele Grüße
Jirka

[Dr.Einstein]

Ist das nicht genau andersrum? Wenn du dort eine Domäne einträgst, wird diese an die Namen angefügt. D.h. in deinem Fall sollte das Feld leer sein.

[mfrank]

@Jirka: Dein Vorschlag hatte ich zuerst implementiert. Es verhält sich aber in beiden Fällen gleich. Laut Dokumentation kann man beide Varianten verwenden.

Ich meine, dass bei einem DNS-Request der Lancom nur dann die Domäne anhängen darf, wenn in der Anfrage kein vollständiger Name verwendet wird.

Also hier ein Beispiel:

client1, client2 sei Mitglied in der Domäne "haus.local". host1 sei Mitglied in der Domäne "firma.local".

Auf client1 führt man folgenden Befehl aus:

Code: Alles auswählen

ping client2

Dann soll der Lancom den gesuchten Namen automatisch um die Domäne von client1 erweitern. Also in diesem Fall wird client2.haus.local gesucht.

Anderer Fall: Diesmal - wieder vom client1 - lautet der Befehl:

Code: Alles auswählen

ping host1.firma.local

In diesem Fall soll der gesuchte Namen nicht erweitert werden, da dieser ja schon ein vollständig Hostname (FQDN) ist. Außerdem muss der LANCOM den DNS-Request an den Windows-DNS-Server (192.168.0.2) weiterleiten.
Die Weiterleitung macht er zwar, aber mit der Anfrage "host1.firma.local.firma.local" (doppelter Domän-Suffix). Der Windows DNS-Server kann aber diesen Namen nicht auflösen.

[sixty]

Anderer Fall: Diesmal - wieder vom client1 - lautet der Befehl:

Code: Alles auswählen

ping host1.firma.local

In diesem Fall soll der gesuchte Namen nicht erweitert werden, da dieser ja schon ein vollständig Hostname (FQDN) ist. Außerdem muss der LANCOM den DNS-Request an den Windows-DNS-Server (192.168.0.2) weiterleiten.
Die Weiterleitung macht er zwar, aber mit der Anfrage "host1.firma.local.firma.local". Der Windows DNS-Server kann aber diesen Namen nicht auflösen.

Ich habe die Erfahrung gemacht, daß LANCOM manchmal die RFCs extrem spitzfindig interpretiert.

Was bringt ein

Code: Alles auswählen

ping host1.firma.local.

in diesem Szenario? Durch den abschließenden Punkt wird die Anfrage eindeutig als absoluter Hostname und nicht als relativer gekennzeichnet und sollte keinesfalls erweitert werden.

Möglicherweise führt LANCOM hier auch eine Sonderbehandlung der Domain "local" durch, da es sich um einen für Multicast-DNS reservierten Namen handelt, der nicht als generische Toplevel-Domain freigegeben ist. Man findet ihn oft im Apple-Umfeld (Bonjour).

[mfrank]

Der Hinweis von Dr. Einstein hat weitergeholfen. Mit folgender Konfiguration funktioniert es.

Eigene Domäne: <leer>
Subdomäne für LAN1: <leer>
Subdomäne für LAN2: privat.local
Subdomäne für LAN3: haus.local

Fazit: wird ein Sub-Netz von einem andernen DNS-Server verwaltet, dann muss im LANCOM diese Subdomäne mit <leer> konfiguriert werden.

[lna]

Dann soll der Lancom den gesuchten Namen automatisch um die Domäne von client1 erweitern. Also in diesem Fall wird client2.haus.local gesucht.
Anderer Fall: Diesmal - wieder vom client1 - lautet der Befehl:

Lass das im Router leer und verteil per DHCP die jeweilige Standardsuchdomäne an die Clients.
Der Job, eine automatische Vervollständigung zu machen ist der des Clients, nicht des DNS-Resolvers.



ergänzend aber etwas off-topic

firma.local --> LAN1
privat.local --> LAN2
haus.local --> LAN3

wenn du die multicast tld nutzt brauchst du im Router keinen dns server dafür konfigurieren, sondern musst dafür sorgen, dass alle beim multicast-dns mitspielen.
RFC6762

Any DNS query for a name ending with ".local." MUST be sent to the
mDNS IPv4 link-local multicast address 224.0.0.251 (or its IPv6
equivalent FF02::FB).

Warum auch immer hält sich der Irrglaube, dass ".local" eine gute idee für interne Netze mit strukturiertem DNS ist.
Die TLD ist reserviert für Multicast-DNS und sorgt für seltsame Effekte wenn man das mischt.