Leitfaden zur DNS-Problembehandlung

Diese Lösung soll Ihnen bei der Problembehandlung von DNS-Szenarien (Domain Name System) helfen. Sie können DNS-Problembehandlungsprobleme nach serverseitigen und clientseitigen Kategorien sortieren.

Checkliste zur Problembehandlung

Serverseitige Probleme

• IP-Konfiguration
• DNS-Server
• Autoritative Daten
• Rekursion
• Zonenübertragung

Clientseitige Probleme

• IP-Konfiguration
• Netzwerkverbindung

Häufige Probleme und Lösungen

Unterstützungsrichtlinie für die clientseitige DNS-Zwischenspeicherung auf DNS-Clients

Windows enthält einen clientseitigen DNS-Cache. Es wird empfohlen, die clientseitige DNS-Zwischenspeicherung auf DNS-Clients nicht zu deaktivieren. Eine Konfiguration, in der die clientseitige DNS-Zwischenspeicherung deaktiviert ist, wird nicht unterstützt.

Microsoft garantiert nicht, dass eine Lösung für Probleme gefunden wird, die nicht unterstützte Geräte oder Konfigurationen betreffen. Wenn keine Lösung gefunden wird, werden die Kosten für eine Untersuchung des Vorfalls nicht erstattet. Wenn nicht vereinbart wird, dass eine Lösung nicht garantiert ist, werden Microsoft-Support das Problem nicht beheben und die Kosten für die Untersuchung des Incidents erstatten.

DNS-Einträge fehlen in einer DNS-Zone

Dieses Problem kann eine der folgenden Ursachen haben.

DIE DNS-Abschotung ist falsch konfiguriert.

Wenn DNS-Einträge in DNS-Zonen fehlen, ist das Abfangen die häufigste Ursache. Selbst Windows-basierte Computer mit statisch zugewiesenen DNS-Servern registrieren ihre Einträge alle 24 Stunden. Überprüfen Sie, ob die Intervalle ohne Aktualisierung und Aktualisierung zu niedrig sind. Wenn diese Werte beispielsweise weniger als 24 Stunden sind, gehen DNS-Einträge verloren.

Informationen zur Behandlung dieses Problems und zum Verständnis von Aktualisierungsintervallen ohne Aktualisierung finden Sie unter Verwenden von DNS-Alterung und -Abschotten.

Der A-Hosteintrag wird gelöscht, wenn die IP-Adresse geändert wird.

Manchmal wird der Hosteintrag "A" auf dem ursprünglichen DNS-Server gelöscht, nachdem der Hosteintrag "A" für die neu konfigurierte IP-Adresse des DNS-Servers (integriertes Active Directory-DNS) registriert wurde. Aus Benutzersicht ist alles, was von der Namensauflösung abhängt, fehlerhaft. Wenn die IP-Adresse des DNS-Servers auf dem Client geändert wird, sendet der Client ein SOA-Update (Start of Authority), um seinen A-Eintrag vom vorherigen DNS-Server zu löschen. Anschließend wird ein weiteres Update gesendet, um den A-Eintrag beim neuen DNS-Server zu registrieren.

Das Problem tritt in Active Directory-integrierten Zonen auf. Probleme treten auf, wenn die IP-Adresse des DNS-Servers auf dem Client geändert wird. Wenn sich die IP-Adresse ändert, sendet der Client eine Registrierungsanforderung an den neuen Server und eine Löschanforderung an den vorherigen Server. Da beide Server bereits synchronisiert sind, werden die Datensätze nicht registriert. Auf dem vorherigen Server löscht der DNS-Dienst den A-Eintrag, und der Löschvorgang wird dann auf den neuen Server repliziert. Daher wird der Datensatz auf beiden Servern gelöscht.

DHCP-Clients, die DHCP-Option 81 verwenden, heben die Registrierung von Host "A"-Einträgen während der Hostregistrierung "AAAA" auf

Dieses Problem tritt auf, wenn DHCP-Clientcomputer ISATAP- oder 6to4-Netzwerkadapter verwenden und sowohl die DNS-Clients als auch die DNS-Server für die dynamische Aktualisierung von DNS-Einträgen konfiguriert sind. Aufgrund dieser Konfiguration ist DHCP-Option 81 (auch als Client-FQDN-Option bezeichnet) sowohl auf den Clients als auch auf den Servern aktiviert. In diesem Fall erstellt der DHCP-Server möglicherweise den DNS-A-Eintrag (IPv4) des Clients. Anschließend erstellt der Client seinen IPv6-Eintrag (AAAA). Im Rahmen dieses Vorgangs sendet der Client jedoch zuerst einen aktualisierten A-Datensatz, der die Gültigkeitsdauer (TTL) 0 aufweist. Daher löscht der DNS-Server den A-Eintrag des Clients, während er den AAAA-Eintrag registriert.

Um dieses Verhalten zu umgehen, vermeiden Sie die Konfiguration von DHCP-Clients, die diese Adapter verwenden, um DNS-Einträge dynamisch zu aktualisieren, wenn die DHCP-Server bereits dafür konfiguriert sind.

Fehler bei der Dns Dynamic Update Protocol-Aktualisierung für vorhandene DNS-Einträge

Bei der Dns Dynamic Update Protocol-Aktualisierung für vorhandene Datensätze tritt ein Fehler auf. Aufgrund dieses Problems betrachtet der DNS-Abreinigungsprozess die Datensätze als veraltet und löscht sie.

Im Fall eines Diensts, der einen SRV-Eintrag erfordert, protokolliert der lokale Netlogon-Dienst Ereignisse der Ereignis-ID 577X, wenn er keine SRV-Einträge registrieren kann. Wenn der Netlogon-Dienst eines Domänencontrollers beispielsweise ein dynamisches Update für seinen LDAP-SRV-Eintrag auslöst und bei diesem Update ein Fehler auftritt, protokolliert der Netlogon-Dienst ein Ereignis auf dem Domänencontroller. Andere Ereignisse werden für Registrierungsfehler von Host "A" und PTR-Datensätzen protokolliert. Überprüfen Sie die Systemereignisprotokolle auf den DNS-Servern und allen anderen betroffenen Computern auf diese Fehler. Der Client, der diese Datensätze registriert, kann solche Ereignisse protokollieren, oder die DHCP-Server, die die Datensätze im Auftrag des Clients registrieren, können sie protokollieren. Diese zusätzlichen Ereignisse können Einen Einblick in die Ursache des Fehlers bieten.

Beim Konvertieren einer aktiven dynamischen Lease in eine Reservierung werden die A- und PTR-Einträge für diesen Client gelöscht.

Es handelt sich hierbei um ein beabsichtigtes Verhalten. Die DNS-Einträge ("A" oder PTR) werden während der nächsten DHCP-Verlängerungsanforderung vom Client automatisch aktualisiert.

Vermeiden der Registrierung unerwünschter Netzwerkadapter im DNS

Wenn ein Netzwerkadapter für die Registrierung der Verbindungsadresse im DNS konfiguriert ist, registrieren die DHCP-/DNS-Clientdienste den Eintrag in DNS. Wenn ein Computer über einen Netzwerkadapter verfügt, den Sie nicht registrieren möchten, führen Sie die folgenden Schritte aus:

1. Öffnen Sie unter Netzwerk Connections die Eigenschaften für den unerwünschten Netzwerkadapter, öffnen Sie TCP/IP-Eigenschaften, wählen Sie Erweitertes>DNS aus, und deaktivieren Sie dann das Kontrollkästchen Adresse dieser Verbindungen in DNS registrieren.
2. Öffnen Sie im linken Bereich die DNS-Serverkonsole, markieren Sie den Server, und wählen Sie dann Aktionseigenschaften> aus.
3. Wählen Sie auf der Registerkarte Schnittstellennur die folgenden IP-Adressen überwachen aus. Entfernen Sie die unerwünschte IP-Adresse aus der Liste.
4. Wählen Sie auf der Seite Zoneneigenschaften die Registerkarte Nameserver aus. Zusätzlich zum FQDN des Domänencontrollers werden auf dieser Registerkarte die IP-Adresse aufgelistet, die dem Domänencontroller zugeordnet ist. Entfernen Sie die unerwünschte IP-Adresse, sofern sie aufgeführt ist.
5. Löschen Sie den vorhandenen unerwünschten Hosteintrag "A" des Domänencontrollers.

Verzögerungen bei DNS-Abfrageantworten

Bei einer DNS-Abfrageanforderung kann ein Timeout auftreten, wenn der DNS-Server die Abfrage an nicht erreichbare Weiterleitungen oder Stammhinweise weiterleitet. Führen Sie zum Behandeln dieses Problems die folgenden Schritte aus:

1. Öffnen Sie die DNS-Konsole auf dem DNS-Server, und überprüfen Sie, ob Weiterleitungen oder bedingte Weiterleitungen erreichbar sind. Wenn eine der Weiterleitungen nicht erreichbar ist, entfernen Sie sie.
2. Wenn der DNS-Server keine Weiterleitungen und Stammhinweise verwenden muss, öffnen Sie die DNS-Konsole auf dem DNS-Server, öffnen Sie das Fenster Servereigenschaften , wählen Sie Erweitert aus, und aktivieren Sie dann Rekursion deaktivieren. (Diese Einstellung deaktiviert auch Weiterleitungen.)

Ereignis-ID 4004 und Ereignis-ID 4013

Ereignismeldung:

Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff auf das Verzeichnis nicht ausgeführt werden. Der DNS-Server wartet auf den Start des Verzeichnisses. Wenn der DNS-Server gestartet wurde, aber das entsprechende Ereignis nicht protokolliert wurde, wartet der DNS-Server weiterhin auf den Start des Verzeichnisses.

Informationen zur Problembehandlung finden Sie unter Problembehandlung bei AD DS und Neustarten des DNS-Serverdiensts.

Die GEO-Standortrichtlinie des DNS-Servers funktioniert nicht wie erwartet

Stellen Sie sich folgendes Szenario vor:

• Sie verwenden eine in Active Directory integrierte Zone (Standardzonenbereich) mit dem Namen "contoso.com".
• Sie verwenden Zonenbereiche für geografische Standorte, die bestimmten Subnetzen zugeordnet sind.
• Sie verwenden das Cmdlet Windows PowerShellAdd-DnsServerQueryResolutionPolicy, um Richtlinien für die DNS-Auflösung zu konfigurieren.

In diesem Szenario ist das gewünschte Ergebnis, dass ein Client versucht, eine angeforderte Ressource zuerst im lokalen Zonenbereich und dann im Standardzonenbereich zu suchen. Nachdem die organization diese Richtlinien konfiguriert hat, können Clients aus den definierten Subnetzen jedoch keine Datensätze auflösen, die im Standardzonenbereich (contoso.com) gehostet werden. Beispielsweise können Clients hostA.contoso.com nicht auflösen. Wenn der DNS-Server solche Anforderungen empfängt, wird die Meldung "Serverfehler" zurückgegeben.

Informationen zur Behebung dieses Problems finden Sie unter Richtlinie für geografische Standorte des DNS-Servers funktioniert nicht wie erwartet.

Bei der weiterleitungsgesteuerten DNS-Namensauflösung tritt bei Abfragen mit dualem Stapel ein Fehler auf.

Sie verwenden eine DNS-Serverlösung eines Drittanbieters, und Sie können Namen nicht konsistent auflösen, wenn Sie die bedingte Weiterleitung verwenden.

Der lokale DNS-Server (10.100.100.70) kann eine Verbindung mit dem DNS-Server herstellen, der als bedingte Weiterleitung konfiguriert ist (10.133.3.250). Die erste Anforderung vom DNS-Server an die bedingte Weiterleitung löst erfolgreich einen Namen auf (z. B. nbob1.contoso.com). Nach einiger Zeit funktioniert die Namensauflösung nicht mehr. Eine nslookup-Abfrage an die bedingte Weiterleitung gibt die Fehlermeldung "nicht vorhandene Domäne" zurück.

Wenn Sie den DNS-Servercache auf dem Weiterleitungscomputer (dem lokalen DNS-Server) löschen, wird die Namensauflösung fortgesetzt. Dieser Fix ist jedoch temporär.

Informationen zur Problembehandlung finden Sie unter Fehler bei der weiterleitungsbasierten DNS-Namensauflösung für Abfragen mit dualem Stapel.

DNS-Server verliert seine NIC-Teamingkonfiguration

Stellen Sie sich folgendes Szenario vor:

• Der DNS-Servercomputer verfügt über mehrere Netzwerkadapter, die Sie in einer NIC-Teamingkonfiguration verwenden.
• Sie konfigurieren den DNS-Server so, dass er an der IP-Adresse des Teamnetzwerkadapters lauscht.
• Auf der Registerkarte Schnittstellen des Dialogfelds DNS-Servereigenschaften im DNS-Manager können Sie die ip-Adresse konfigurieren, die Sie verwenden möchten.

Nachdem Sie den DNS-Server neu gestartet haben, löscht Windows die Einstellung. Der DNS-Server beginnt erneut, alle IP-Adressen zu lauschen.

Wenn diese Änderung auftritt, protokolliert Windows die Ereignis-ID 410 im DNS-Serverereignisprotokoll:

Die DNS-Serverliste der eingeschränkten Schnittstellen enthält keine gültige IP-Adresse für den Servercomputer. Der DNS-Server verwendet alle IP-Schnittstellen auf dem Computer. Verwenden Sie das Dialogfeld Eigenschaften und Schnittstellen des DNS-Managers, um die IP-Adressen zu überprüfen und zurückzusetzen, an der der DNS-Server lauschen soll. Weitere Informationen findest du unter "So schränken Sie ein DNS-Server ein, nur an ausgewählten Adressen zu lauschen" in der Onlinehilfe.

Informationen zur Behandlung dieses Problems finden Sie unter DNS-Server wird auf alle IP-Adressen anstelle der konfigurierten NIC-Teaming-IP-Adresse wiederhergestellt.

Verhalten der DNS-Eintragsregistrierung, wenn der DHCP-Server dynamische DNS-Updates verwaltet

Sie verfügen über eine Infrastruktur, die DHCP-Clients (Windows Dynamic Host Configuration Protocol) und Microsoft DHCP-Server zum Zuweisen und Verwalten von IP-Adressen verwendet. Wählen Sie auf dem DHCP-Server dynamische DNS-Updates gemäß den folgenden Einstellungen aktivieren und DNS-Einträge immer dynamisch aktualisieren aus. In dieser Konfiguration erwarten Sie, dass der DHCP-Server dynamische DNS-Updates für A-Einträge und PTR-Einträge verwaltet. Sie stellen jedoch fest, dass sowohl der Client als auch der Server DNS-Einträge erstellen. Abhängig von Ihrer Konfiguration hat dieses Verhalten die folgenden Auswirkungen:

• Wenn Sie die DNS-Zonen für unsichere und sichere dynamische Updates konfigurieren, sehen Sie, dass der DHCP-Server Datensätze erstellt und der DHCP-Client dann dieselben Datensätze löscht und neu erstellt.
• Wenn Sie die DNS-Zonen für Nur dynamische Updates schützen konfigurieren, können DNS-Einträge inkonsistent werden. Sowohl der DHCP-Server als auch der DHCP-Client erstellen Datensätze. Der DHCP-Server kann jedoch keine Datensätze aktualisieren, die der DHCP-Client erstellt, und der DHCP-Client kann keine Datensätze aktualisieren, die der DHCP-Server erstellt.

Informationen zur Problembehandlung finden Sie unter Verhalten der DNS-Eintragsregistrierung, wenn der DHCP-Server auf "DNS-Einträge immer dynamisch aktualisieren" festgelegt ist.

Datensammlung

Bevor Sie sich an Microsoft-Support wenden, können Sie Informationen zu Ihrem Problem sammeln.

Voraussetzungen

• Führen Sie TSS im Sicherheitskontext eines Kontos aus, das über Administratorrechte auf dem lokalen System verfügt. Wenn Sie TSS zum ersten Mal ausführen, akzeptieren Sie die Lizenzbedingungen. (Nachdem Sie die Lizenzbedingungen akzeptiert haben, werden Sie von TSS nicht erneut aufgefordert.)
• Es wird empfohlen, die RemoteSigned PowerShell-Ausführungsrichtlinie im Bereich zu LocalMachine verwenden.

Sammeln Sie wichtige Informationen, bevor Sie sich an den Microsoft-Support wenden.

1. Laden Sie TSS auf allen Knoten herunter, und erweitern Sie die Datei im Ordner C:\tss .

2. Öffnen Sie den Ordner C:\tss in einem PowerShell-Eingabeaufforderungsfenster mit erhöhten Rechten.

3. Starten Sie die Ablaufverfolgungen auf dem Client und Server, indem Sie die folgenden Cmdlets ausführen:

   • Kunde:

     TSS.ps1 -Scenario NET_DNScli
     

   • Server:

     TSS.ps1 -Scenario NET_DNSsrv
     

4. Akzeptieren Sie die Lizenzbedingungen, wenn die Ablaufverfolgungen zum ersten Mal auf dem Server oder client ausgeführt werden.

5. Aufzeichnung zulassen (PSR oder Video).

   Hinweis

   Wenn Sie Protokolle sowohl auf dem Client als auch auf dem Server sammeln, warten Sie, bis diese Meldung auf beiden Knoten angezeigt wird, bevor Sie das Problem reproduzieren.

6. Reproduzieren Sie das Problem.

7. Nachdem Sie das Problem reproduzieren, geben Sie Y ein, um die Protokollierung der Daten abzuschließen.

TSS speichert die Ablaufverfolgungen in einer komprimierten Datei im Ordner C:\MS_DATA . Sie können die Datei zur Analyse in den Arbeitsbereich hochladen.

References

• Problembehandlung für DNS-Clients
• Problembehandlung für DNS-Server
• DNS-Protokollierung und -Diagnose
• Grundlegendes zu Alterung und Gerüstbau
• Aktivieren dynamischer DNS-Updates für Clients
• Übersicht über DNS-Richtlinien
• DNS Active Directory-Integrated Zones
• DNS-Zonenreplikation in Active Directory
• Überprüfen, ob SRV-DNS-Einträge erstellt wurden
• Konfigurieren dynamischer DNS-Updates
• Überprüfen von DNS-Konzepten