Toon posts:

[windows200x]Howto: troubleshoot DNS

Pagina: 1
Acties:
  • 2.015 views sinds 30-01-2008

donderdag 2 oktober 2003 12:29

Acties:
  • 0 Henk 'm!
  • mutsje
  • Registratie: September 2000
  • Laatst online: 20-06 11:10

mutsje

Certified Prutser

Topicstarter

HOWTO: Troubleshooting DNS

Inleiding


Omdat het nogal eens voorkomt dat mensen klakkeloos DNS installeren en niet echt weten waar ze mee bezig zijn het kookboek "Troubleshooting DNS".

NOTE: Als voorbeeld wordt in deze howto wederom 'datacrash.net' gebruikt met volgende entry's


  • A record 'security'
  • SOA security.datacrash.net
  • NetBIOS naam 'Security'
  • IP entry's worden aangegeven als [xxx.xxx.xxx.xxx]


DNS staat voor Domain Name Server (bij Microsoft noemt men het Service).



·^

Aan de slag ...


Stap 1: Basis beginselen


DNS resolved URL (uniform resource locators) naar een IP adres.
Dit gebeurd aan de hand van een vooraf vastgezette topology. De volgende url wat als volgt resolved.
www.gathering.tweakers.net.



  1. Client wil naar www.gathering.tweakers.net.
    De client zal een verzoek sturen naar de . (root) dns server met de vraag: Ken jij www.gathering.tweakers.net?
  2. De client zal nu een reply krijgen 'Nee, maar ik ken wel het ip adres van .net.
  3. Vervolgens gaat de client de vraag neerleggen bij de DNS server die .net beheerd.
  4. Deze zal replyen met ik ken www.gathering.tweakers.net. niet, maar ik weet wel waar de DNS server voor .tweakers.net. te vinden is.
  5. Nu stuurt de client het verzoek naar de DNS server die Tweakers.nry. geregisteerd heeft en krijgt van deze server het ip adres van gathering welke door zal verwijzen naar het ip adres voor www.gathering.tweakers.net.

Oftewel:


client --> . --> net. --> tweakers.net. 
  --> gathering.tweakers.net. --> www.gathering.tweakers.net

Dit zijn allemaal Forward Lookup Zones.

Reverse Lookup Zones werken precies anders om en proberen het IP adres naar Naam te resolven in omgekeerde volgorde.

Reverse Lookup kun je gebruiken om bijvoorbeeld te controleren of [xxx.xxx.xxx.xxx] wel echt het IP adres van www.datacrash.net is



Stap 2: DNS en windows 2000


DNS wordt binnen Windows 2000 geintregeerd met Active Directory (althans dit is mogelijk). Dit houd in dat de data niet meer in DNS records geschreven wordt maar intregeert met AD (voordeel meer secure)

De DNS server behoord als je Active Directory draait een aantal standaard zones te hebben.


  • _msdcs
  • _sites
  • _tcp
  • _udp


Heeft jou DNS server deze zones niet maar bijvoorbeeld alleen de . root zone (zie voor een plaatje de FAQ in WOS DNS Forwarding en met name de default open geklapte DNS Management Console. Hier zie je alle benodigde records staan maar geen . zone.

De .zone wordt expres weggehaald omdat je anders geen internet adressen kunt resolven zoals hierboven al beschreven hoe dns werkt.

Als je Forward Lookup Zone er niet is, is dit geen probleem. Weet je nog hoe je je domain genoemt hebt bijvoorbeeld 'mijndomein.nl' maak dan een Forward Lookup Zone 'mijndomein.nl' aan en met een A record van het ip adres van de server waar je DNS op staat.
Active Directory is zo fijn om nu zelf de juiste zones erbij te gaan maken. Dit kan enige tijd duren! dus af en toe op F5 drukken is nodig. Zorg ook dat je niet vergeet om een Reverse Lookup Zone aan te maken. Active Directory heeft dit zeker nodig!

Het voorbeeld heeft als Foward Lookup Zone datacrash.net (dit is ook het active directory domain).
Elk werkstation of server die bijgeplaatst wordt krijgt dan als naam server.datacrash.net

Om te checken of je DNS goed in elkaar zit moet het aan een paar dingen voldoen.

Je moet de netbiosnaam kunnen pingen in dit voorbeeld heet de machine security als je een command prompt opent en doet dan ping security krijgen we reply van [xxx.xxx.xxx.xxx]. Dit betekend dat we de NetBIOS snaam naar een IP adres kunnen resolven.
Als we nu verder willen zouden we security.datacrash.net kunnen pingen als we nu reply timed out krijgen moeten we verder troubleshooten.



Stap 3: NSLOOKUP


Om Zones in een DNS server te kunnen controleren wordt in het algemeen gebruik gemaakt van nslookup welke standaard in Windows2000 en in de meeste andere operating systems aanwezig is.

Als men 'nslookup' opent gaat deze opzoek naar de DNS server die in jouw netwerkeigenschappen vermeld staat. Als je nu 'ping datacrash.net' doet zal je als reply [xxx.xxx.xxx.xxx] krijgen.

Nu willen we ping security.datacrash.net doen maar krijgen 'Reply timed out'. Open nu je DNSMGT console en kijk in de Forward Lookup Zone of het A record voor de server security wel bestaat.
Als deze niet bestaat maak je een nieuwe A record aan en hier vul je het IP adres van de server in.



Stap 4: Domain Name checken in NSLOOKUP


Je opent weer een command prompt en opent nslookup voer nu onderstaande string in
_ldap._tcp.dc._msdcs.Dns.DomainName waar DomainName de naam van jou domain is.

Output zal iets zijn als 

H:\>nslookup _ldap._tcp.dc._msdcs.domainname 
Server:  dns.domainname
Address:  [xxx.xxx.xxx.xxx]

Name:    _ldap._tcp.dc._msdcs.domainname

Om meer uit te lezen met het LS commando moet je wel de server of client toevoegen aan "Allow zonetransfer" tab (thanks IIS5_rules).

Je zou



H:\>nslookup
ls -d datacrash.net

kunnen doen en je krijgt dan een hele waslijst aan gegevens.

Voor alle opties in nslookup moet je HELP in toetsen en krijg je nog veel meer opties. Een handige optie is wel het 'ls' commando. Deze leest bijvoorbeeld alles voor een domain uit. Nu willen wij dit absoluut niet en daarom maken wij een zone altijd Active Directory Integrated, dit voorkomt dat het LS commando gebruikt kan worden.

Om nieuwe machines automatisch in DNS te laten registeren moet de zone Allow Dynamic Updates aan hebben staan (rechts klikken op je zone properties in tabblad General).

Hoe controleer ik of mijn mailrecords wel goed geregisteerd staan op het internet.



Stap 5: DNSLint


Microsoft heeft een tool uitgebracht en deze heet DNSLINT.exe om deze tool te kunnen runnen moet er wel internet verbinding zonder restricties zijn of men moet uitzoeken welke poorten in een firewall open moeten als men deze tussen de client waar men DNSLINT op uitvoert en het internet heeft staan.

Een goede Diagnostic tool is NETDIAG uit de Windows 2000 Resource Kit. Deze kent ook vele opties om te troubleshooten waarom DNS niet werkt.

TIP: Maak niet alleen de Forward Lookup Zones aan maar ook gelijk een Reverse Lookup Zone. Deze zijn allebei erg belangrijk om Active Directory goed te laten werken.



·^

Thanks to


Deze howto is geschreven door Hans, beter bekend als mutsje (www.datacrash.net).
Op- of aanmerkingen, en suggesties kunnen worden doorgegeven aan de WOS moderators



·^

Lijst met figuren


  • Geen figuren gevonden


·^

Inhoudsopgave



[ Voor 69% gewijzigd door elevator op 29-11-2004 12:43 ]

Dit topic is gesloten.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq