Problembehandlung bei DNS-Servern

  • Artikel

Testen Sie unseren Virtual Agent – Er kann Ihnen helfen, häufige DNS-Probleme schnell zu erkennen und zu beheben.

In diesem Artikel wird erläutert, wie Sie Probleme auf DNS-Servern beheben.

Überprüfen der IP-Konfiguration

  1. Führen Sie ipconfig /all an einer Eingabeaufforderung aus, und überprüfen Sie die IP-Adresse, die Subnetzmaske und das Standardgateway.

  2. Überprüfen Sie, ob der DNS-Server für den gesuchten Namen autoritativ ist. Wenn ja, lesen Sie Überprüfen auf Probleme mit autoritativen Daten.

  3. Führen Sie den folgenden Befehl aus:

    nslookup <name> <IP address of the DNS server>

    Beispiel:

    nslookup app1 10.0.0.1

    Wenn Sie eine Fehler- oder Timeoutantwort erhalten, lesen Sie Überprüfen auf Rekursionsprobleme.

  4. Leeren Sie den Resolvercache. Führen Sie dazu in einem Eingabeaufforderungsfenster mit Administratorrechten folgenden Befehl aus:

    dnscmd /clearcache

    Führen Sie alternativ in einem PowerShell-Verwaltungsfenster folgendes Cmdlet aus:

    Clear-DnsServerCache

  5. Wiederholen Sie Schritt 3.

Überprüfen auf DNS-Serverprobleme

Ereignisprotokoll

Überprüfen Sie die folgenden Protokolle, um festzustellen, ob Fehler aufgezeichnet sind:

  • Anwendung

  • System

  • DNS-Server

Testen mithilfe der nslookup-Abfrage

Führen Sie den folgenden Befehl aus, und überprüfen Sie, ob der DNS-Server von Clientcomputern aus erreichbar ist.

nslookup <client name> <server IP address>

  • Wenn der Resolver die IP-Adresse des Clients zurückgibt, gibt es auf dem Server keine Probleme.

  • Wenn der Resolver eine Antwort "Serverfehler" oder "Abfrage verweigert" zurückgibt, wird die Zone wahrscheinlich angehalten, oder der Server wird möglicherweise überladen. Sie können erfahren, ob sie angehalten wird, indem Sie die Registerkarte "Allgemein" der Zoneneigenschaften in der DNS-Konsole überprüfen.

Wenn der Resolver die Antwort „Timeout für Anforderung an Server“ oder „Keine Antwort vom Server“ zurückgibt, wird der DNS-Dienst wahrscheinlich nicht ausgeführt. Versuchen Sie, den DNS-Serverdienst neu zu starten, indem Sie Folgendes in einer Eingabeaufforderung auf dem Server eingeben:

net start DNS

Wenn das Problem auftritt, wenn der Dienst ausgeführt wird, lauscht der Server möglicherweise nicht auf die IP-Adresse, die Sie in Ihrer nslookup-Abfrage verwendet haben. Auf der Registerkarte Schnittstellen der Servereigenschaftenseite in der DNS-Konsole können Administratoren einen DNS-Server so einschränken, dass er nur auf ausgewählte Adressen lauscht. Wenn der DNS-Server so konfiguriert wurde, dass der Dienst auf eine bestimmte Liste seiner konfigurierten IP-Adressen beschränkt ist, ist die IP-Adresse, die für die Kontaktaufnahme mit dem DNS-Server verwendet wird, möglicherweise nicht in der Liste enthalten. Sie können eine andere IP-Adresse in der Liste ausprobieren oder die IP-Adresse der Liste hinzufügen.

In seltenen Fällen verfügt der DNS-Server möglicherweise über eine erweiterte Sicherheits- oder Firewallkonfiguration. Wenn sich der Server in einem anderen Netzwerk befindet, das nur über einen Zwischenhost (z. B. einen Paketfilterrouter oder Proxyserver) erreichbar ist, verwendet der DNS-Server möglicherweise einen nicht standardmäßigen Port, um auf Clientanforderungen zu lauschen und sie zu empfangen. Standardmäßig sendet nslookup Abfragen an DNS-Server über UDP-Port 53. Darum treten bei nslookup-Abfragen Fehler auf, wenn der DNS-Server einen anderen Port verwendet. Wenn Sie meinen, dies könnte das Problem sein, überprüfen Sie, ob absichtlich ein Zwischenfilter verwendet wird, um Datenverkehr an bekannten DNS-Ports zu blockieren. Wenn dies nicht der Fall ist, versuchen Sie, die Paketfilter oder Portregeln in der Firewall so zu ändern, dass Datenverkehr an UDP/TCP-Port 53 zugelassen wird.

Überprüfen auf Probleme mit autoritativen Daten

Überprüfen Sie, ob der Server, der die falsche Antwort zurückgibt, ein primärer Server für die Zone (der primäre Standardserver für die Zone oder ein Server, der die Active Directory-Integration zum Laden der Zone verwendet) oder ein Server ist, der eine sekundäre Kopie der Zone hostet.

Wenn der Server ein primärer Server ist

Das Problem kann durch einen Benutzerfehler verursacht werden, wenn Benutzer Daten in die Zone eingeben. Alternativ kann ein Problem, das sich auf die Active Directory-Replikation oder das dynamische Update auswirkt, die Ursache sein.

Wenn der Server eine sekundäre Kopie der Zone hostet

  1. Untersuchen Sie die Zone auf dem primären Server (dem Server, von dem dieser Server Zonenübertragungen pullt).

    Hinweis

    Sie können ermitteln, welcher Server der primäre Server ist, indem Sie die Eigenschaften der sekundären Zone in der DNS-Konsole untersuchen.

    Wenn der Name auf dem primären Server nicht korrekt ist, fahren Sie mit Schritt 4 fort.

  2. Wenn der Name auf dem primären Server korrekt ist, überprüfen Sie, ob die Seriennummer auf dem primären Server kleiner als die Seriennummer auf dem sekundären Server oder gleich ist. Wenn ja, ändern Sie entweder den primären Server oder den sekundären Server, sodass die Seriennummer auf dem primären Server größer ist als die Seriennummer auf dem sekundären Server.

  3. Erzwingen Sie auf dem sekundären Server eine Zonenübertragung von der DNS-Konsole aus oder durch Ausführen des folgenden Befehls:

    dnscmd /zonerefresh <zone name>

    Wenn die Zone beispielsweise „corp.contoso.com“ ist, geben Sie Folgendes ein: dnscmd /zonerefresh corp.contoso.com.

  4. Überprüfen Sie den sekundären Server erneut, um festzustellen, ob die Zone ordnungsgemäß übertragen wurde. Falls nicht, liegt wahrscheinlich ein Zonenübertragungsproblem vor. Weitere Informationen finden Sie unter Zonenübertragungsprobleme.

  5. Wenn die Zone ordnungsgemäß übertragen wurde, überprüfen Sie, ob die Daten jetzt korrekt sind. Falls nicht, sind die Daten in der primären Zone falsch. Das Problem kann durch einen Benutzerfehler verursacht werden, wenn Benutzer Daten in die Zone eingeben. Alternativ kann ein Problem, das sich auf die Active Directory-Replikation oder das dynamische Update auswirkt, die Ursache sein.

Überprüfen auf Rekursionsprobleme

Für eine erfolgreiche Rekursion müssen alle DNS-Server, die im Pfad einer rekursiven Abfrage verwendet werden, in der Lage sein, auf ordnungsgemäße Daten zu reagieren und diese weiterzuleiten. Wenn dies nicht möglich ist, können bei einer rekursiven Abfrage aus folgenden Gründen Fehler auftreten:

  • Für die Abfrage tritt ein Timeout auf, bevor sie abgeschlossen werden kann.

  • Ein während der Abfrage verwendeter Server reagiert nicht.

  • Ein während der Abfrage verwendeter Server stellt falsche Daten bereit.

Starten Sie die Problembehandlung auf dem Server, der in Ihrer ursprünglichen Abfrage verwendet wurde. Überprüfen Sie auf der Registerkarte Weiterleitungen in den Servereigenschaften in der DNS-Konsole, ob dieser Server Abfragen an einen anderen Server weiterleitet. Wenn das Kontrollkästchen Weiterleitungen aktivieren aktiviert ist und mindestens ein Server aufgelistet wird, leitet dieser Server Abfragen weiter.

Wenn dieser Server Abfragen an einen anderen Server weiterleitet, überprüfen Sie, ob Probleme vorliegen, die sich auf den Server auswirken, an den dieser Server Abfragen weiterleitet. Informationen zur Überprüfung auf Probleme finden Sie unter Überprüfen auf DNS-Serverprobleme. Wenn Sie in diesem Abschnitt angewiesen werden, eine Aufgabe auf dem Client auszuführen, führen Sie sie stattdessen auf dem Server aus.

Wenn der Server fehlerfrei ist und Abfragen weiterleiten kann, wiederholen Sie diesen Schritt, und untersuchen Sie den Server, an den dieser Server Abfragen weiterleitet.

Wenn dieser Server keine Abfragen an einen anderen Server weiterleitet, testen Sie, ob dieser Server einen Stammserver abfragen kann. Führen Sie zu diesem Zweck den folgenden Befehl aus:

nslookup
server <IP address of server being examined>
set q=NS

  • Wenn der Resolver die IP-Adresse eines Stammservers zurückgibt, liegt wahrscheinlich eine fehlerhafte Delegierung zwischen dem Stammserver und dem Namen oder der IP-Adresse vor, den/die Sie auflösen möchten. Führen Sie das Verfahren Testen einer fehlerhaften Delegierung aus, um zu ermitteln, wo eine fehlerhafte Delegierung aufgetreten ist.

  • Wenn der Resolver die Antwort „Timeout für Anforderung an Server“ zurückgibt, überprüfen Sie, ob die Stammhinweise auf funktionierende Stammserver verweisen. Verwenden Sie hierzu das Verfahren So zeigen Sie die aktuellen Stammhinweise an. Wenn die Stammhinweise auf funktionierende Stammserver verweisen, liegt möglicherweise ein Netzwerkproblem vor, oder der Server verwendet möglicherweise eine erweiterte Firewallkonfiguration, die verhindert, dass der Resolver den Server abfragt, wie im Abschnitt Überprüfen auf DNS-Serverprobleme beschrieben. Es ist auch möglich, dass die Timeoutstandardeinstellung für rekursive Abfragen zu kurz ist.

Testen einer fehlerhaften Delegierung

Beginnen Sie die Tests im folgenden Verfahren, indem Sie einen gültigen Stammserver abfragen. Der Test führt Sie durch einen Prozess, bei dem alle DNS-Server vom Stamm bis zum dem Server abgefragt werden, den Sie auf eine fehlerhafte Delegierung testen.

  1. Geben Sie auf dem Server, den Sie testen, Folgendes an der Eingabeaufforderung ein:

    nslookup
server <server IP address>
set norecursion
set querytype= <resource record type>
<FQDN>

    Hinweis

    Der Ressourcendatensatztyp ist der Typ des Ressourcendatensatzes, nach dem Sie in ihrer ursprünglichen Abfrage gefragt haben, und der FQDN ist der FQDN (durch einen Punkt beendet), für den Sie abfragen.

  2. Wenn die Antwort eine Liste von „NS“- und „A“-Ressourcendatensätzen für delegierte Server enthält, wiederholen Sie Schritt 1 für jeden Server, und verwenden Sie die IP-Adresse aus den „A“-Ressourcendatensätzen als Server-IP-Adresse.

    • Wenn die Antwort keinen „NS“-Ressourcendatensatz enthält, liegt eine fehlerhafte Delegierung vor.

    • Wenn die Antwort „NS“-Ressourcendatensätze, aber keine „A“-Ressourcendatensätze enthält, geben Sie set recursion ein, und fragen Sie einzeln nach „A“-Ressourcendatensätzen von Servern ab, die in den „NS“-Datensätzen aufgeführt sind. Wenn Sie nicht mindestens eine gültige IP-Adresse eines „A“-Ressourcendatensatzes für jeden „NS“-Ressourcendatensatz in einer Zone finden, liegt eine fehlerhafte Delegierung vor.

  3. Wenn Sie feststellen, dass eine fehlerhafte Delegierung vorliegt, korrigieren Sie diese, indem Sie einen „A“-Ressourcendatensatz in der übergeordneten Zone hinzufügen oder aktualisieren, indem Sie eine gültige IP-Adresse für einen richtigen DNS-Server für die delegierte Zone verwenden.

So zeigen Sie die aktuellen Stammhinweise an

  1. Starten Sie die DNS-Konsole.

  2. Fügen Sie den DNS-Server hinzu, bei dem bei einer rekursiven Abfrage ein Fehler aufgetreten ist, oder stellen Sie eine Verbindung mit ihm her.

  3. Klicken Sie mit der rechten Maustaste auf den Server, und wählen Sie Eigenschaften aus.

  4. Klicken Sie auf „Stammhinweise“.

Überprüfen Sie, ob grundlegende Konnektivität mit den Stammservern besteht.

  • Wenn Stammhinweise offenbar ordnungsgemäß konfiguriert sind, überprüfen Sie, ob der DNS-Server, der in einer fehlerhaften Namensauflösung verwendet wird, die Stammserver nach IP-Adresse pingen kann.

  • Wenn die Stammserver nicht auf das Pingen nach IP-Adresse reagieren, haben sich die IP-Adressen für die Stammserver möglicherweise geändert. Es ist jedoch ungewöhnlich, dass Stammserver neu konfiguriert werden.

Zonenübertragungsprobleme

Führen Sie die folgenden Überprüfungen aus:

  • Überprüfen Sie die Ereignisanzeige sowohl für den primären als auch sekundären DNS-Server.

  • Überprüfen Sie, ob der primäre Server sich aus Sicherheitsgründen weigert, die Übertragung zu senden.

  • Überprüfen Sie die Registerkarte Zonenübertragungen der Zoneneigenschaften in der DNS-Konsole. Wenn der Server Zonenübertragungen auf eine Liste von Servern einschränkt, z. B. auf die auf der Registerkarte Namenserver der Zoneneigenschaften, stellen Sie sicher, dass sich der sekundäre Server auf dieser Liste befindet. Stellen Sie sicher, dass der Server für das Senden von Zonenübertragungen konfiguriert ist.

  • Überprüfen Sie den primären Server auf Probleme, indem Sie die Schritte im Abschnitt Überprüfen auf DNS-Serverprobleme ausführen. Wenn Sie aufgefordert werden, eine Aufgabe auf dem Client auszuführen, führen Sie die Aufgabe stattdessen auf dem sekundären Server aus.

  • Überprüfen Sie, ob auf dem sekundären Server eine andere DNS-Serverimplementierung ausgeführt wird, z. B. BIND. Wenn ja, kann das Problem eine der folgenden Ursachen haben:

    • Der primäre Windows-Server ist möglicherweise für das Senden von schnellen Zonenübertragungen konfiguriert, aber der sekundäre Drittanbieterserver unterstützt möglicherweise keine schnellen Zonenübertragungen. Deaktivieren Sie in diesem Fall schnelle Zonenübertragungen auf dem primären Server in der DNS-Konsole, indem Sie auf der Registerkarte Erweitert der Eigenschaften für Ihren Server das Kontrollkästchen Binden von Sekundärdservern aktivieren aktivieren.

    • Wenn eine Forward-Lookup-Zone auf dem Windows-Server einen Datensatztyp (z. B. einen SRV-Datensatz) enthält, den der sekundäre Server nicht unterstützt, können für den sekundären Server Probleme beim Pullen der Zone auftreten.

Überprüfen Sie, ob auf dem primären Server eine andere DNS-Serverimplementierung ausgeführt wird, z. B. BIND. In diesem Fall ist es möglich, dass die Zone auf dem primären Server inkompatible Ressourcendatensätze enthält, die von Windows nicht erkannt werden.

Wenn auf dem Master- oder sekundären Server eine andere DNS-Serverimplementierung ausgeführt wird, überprüfen Sie beide Server, um sicherzustellen, dass sie dieselben Features unterstützen. Sie können den Windows-Server in der DNS-Konsole auf der Registerkarte Erweitert der Eigenschaftenseite für den Server überprüfen. Zusätzlich zum Kontrollkästchen „Binden von Sekundärdservern aktivieren“ enthält diese Seite die Dropdownliste Namensüberprüfung. Dies ermöglicht Ihnen, die strikte RFC-Konformität für Zeichen in DNS-Namen zu erzwingen.