DNS probleem 7062 - Serversoftware en clouddiensten

vrijdag 15 september 2006 13:12

Acties:

Topicstarter

Hallo,

Situatieschets:

Twee domeincontrollers. Laten we ze even server A en server B noemen. Beide zijn Windows 2003 servers incl. SP1.

Server A: 10.1.1.1
Server B: 10.1.1.2

Server A doet DHCP in de scope 10.10.60.x
Server B doet DHCP in de scope 10.10.64.x

DNS wordt uitgegeven door server A. Server B is in dit geval de backup server. Beide servers hangen in hetzelfde rack. Server B is in feite een backup DC.

Probleemomschrijving:

In de DNS logs van server A krijgen we enorm veel meldingen ( meerdere per minuut ) over het volgende:

The DNS server encountered a packet addressed to itself on IP address 10.1.1.1. The packet for the DNS name "199.64.10.10 in-addr.arpa. The packet will be discarded. This condition ususally indicates a configuration error.

Source: DNS
Eventid: 7062

Nu hebben we dus de lijst al eens doorgekeken. De IP-adressen die dit probleem veroorzaken zijn dus PC's die hun DHCP van server B krijgen. Het DNS adres dat deze betreffende PC's meekrijgen is van server A.

Uitgevoerd:

Nu heb ik al het één en ander lopen zoeken op:
- GoT: http://gathering.tweakers...meout%5D=30&select_forum=

- Eventid.net: http://www.eventid.net/di...p?eventid=7062&source=dns
- MS support: How to troubleshoot 7062 errors logged in DNS event log

Nu heb ik hetgeen op de MS Support site al uitgevoerd, alleen heeft dit het probleem niet opgelost. Ook de oplossingen die op internet en eventid worden aangegeven, lossen het probleem niet op. Nu moet ik er wel bij vermelden dat al deze oplossingen uitgaan van 1 server. In ons geval hebben we dus twee servers.

Nu hebben we ook in de DNS configuratie ingesteld dat de server alleen op zijn eigen IP-adres moet luisteren. Deze stonden eerst ingesteld dat ze moesten luisteren op alle interfaces. Helaas heeft dit het probleem niet opgelost.

Vraag me niet waarom deze situatie zo is ingesteld. Dit was al toen ik hier kwam werken. De huidige opzet wordt niet gewijzigd.

Heeft er iemand toevallig nog een idee in welke richting ik het moet zoeken ?

Edit:

Ik ben nog eens dieper in de DNS configuratie op server B gedoken. In de DHCP scope opties stond het IP-adres van server A ( 10.1.1.1 ) als 1e DNS adres vermeldt en het IP-adres van server B ( 10.1.1.2 ) als tweede.
Ik heb dit omgewisseld. Of kan dit niks met het probleem te maken hebben ?

Edit:
Blijkbaar heeft bovenstaande ook niet geholpen. Wel had ik een pauze van ongeveer 30 minuten sinds de laatste vermelding. Maar de laatste minuut is er weer om de 4 seconden een log vermelding bij gekomen

[ Voor 9% gewijzigd door Koffie op 17-09-2006 08:02 . Reden: Code tags weggehaald ivm layout ]

zaterdag 16 september 2006 12:42

Acties:

Leon T

Ni!

Het heeft blijkbaar iets te maken met je reverse look-up zones en de manier waarop jij queries hierop laat afhandelen door je DNS server.
Heb je een reverse-lookup zone aangemaakt? Welke instellingen staan hierop? Heb je forwarders?

zondag 17 september 2006 02:20

Acties:

mookie

Heerlijk Helder

idd vreemd dat dit over een reverse lookup zone gaat.
Meestal gaat het over gewone zones.

normaal als een computer opstart en hij is lid van je domein dan zal hij zichzelf registeren.
Hij maakt een A record aan met zijn IP address in de gewone zone, b.v. netwerkje.local
Vervolgens maakt hij een PTR record in de reverse lookup zone aan.
in het geval van je 10.10.64.x scope zou er een reverse lookup zone moeten bestaan die 64.10.10.in-addr.arpa heet.

Blijkbaar heeft jouw server A die zone niet.
Hij gaat dan kijken wie daarvoor verantwoordelijk is en dat is hij toch echt zelf dus komt hij weer bij zichzelf terecht en zit je in een lus. Die lus wordt afgekapt en je krijgt die melding in je log.

Dus:
Zeg eens hoe je DNS zone heet, b.v. netwerkje.local en vertel eens welke reverse lookup zones er bestaan.
Kijk eens in de root van die zone.
Daar moeten de volgende 2 records zijn:

(same as parent folder) Start of Authority (SOA) [571], serverA.netwerkje.local, hostmaster.netwerkje.local
(same as parent folder) Name Server (NS) serverA.netwerkje.local

mookie

maandag 18 september 2006 11:20

Acties:

nextware

Topicstarter

mookie schreef op zondag 17 september 2006 @ 02:20:

Dus:
Zeg eens hoe je DNS zone heet, b.v. netwerkje.local en vertel eens welke reverse lookup zones er bestaan.
Kijk eens in de root van die zone.
Daar moeten de volgende 2 records zijn:

(same as parent folder) Start of Authority (SOA) [571], serverA.netwerkje.local, hostmaster.netwerkje.local
(same as parent folder) Name Server (NS) serverA.netwerkje.local

De DNS zone heet:
10.in-addr.arpa

Als ik daar dan in kijk, zie ik het volgende staan:

(same as parent folder) Name Server (NS) serverA.domeinnnaam.lan
(same as parent folder) Name Server (NS) serverB.domeinnaam.lan
(same as parent folder) Start of Authority (SOA) [4643], serverA.domeinnaam.lan, hostmaster.domeinnaam.lan

Op server B ziet het er bijna hetzelfde uit:

(same as parent folder) Name Server (NS) serverA.domeinnnaam.lan
(same as parent folder) Name Server (NS) serverB.domeinnaam.lan
(same as parent folder) Start of Authority (SOA) [4645], serverB.domeinnaam.lan, hostmaster.domeinnaam.lan

Daaronder zie ik ook een aantal "mappen" staan. Dat zijn, volgens mij, de verschillende subnetten. Ik kan ook die subnetten openen, behalve 1. Dit is de 10.10.x.x => greyed out.

In alle andere subnetten staan PTR-records vermeldt. Behalve in de 10. Daar staat alleen maar in:

(same as parent folder) Name Server (NS) serverA.domeinnnaam.lan

Waarom dat dan die 10.x map greyed-out is, begrijp ik niet

maandag 18 september 2006 18:17

Acties:

Leon T

Ni!

Nu zijn we achter het probleem, het mapje mag inderdaad niet grijs zijn.
Even een vraagje over de manier waarop jij je DNS servers hebt ingesteld: zijn ze AD integrated of via de standaard Primary/Secondary manier opgezet?

Het probleem dat ik zo snel zie (en als iemand het met me eens is, zeg het aub!) is dat je reverse zone niet goed is geconfigureerd. Op zowel server A als server B heb je een SOA record met een andere server. Dit zou in principe je primary DNS server moeten zijn (serverA?). Wat je ook ziet is dat beide SOA's een andere numeric waarde hebben (hoogste is de baas), terwijl dit eigenlijk gelijk moet zijn of hooguit 1 verschillen. Heb je hier toevallig iets aan veranderd recentelijk?

Checklist:
a)kijk hoe je reverse is geconfigureerd, heb je toevallig 2 primary dns draaien?
b)if not, force eens een dns update vanaf server A
c)is het mogelijk reverse dns (snel) opnieuw aan te maken?

[ Voor 4% gewijzigd door Leon T op 18-09-2006 18:18 ]

maandag 18 september 2006 22:16

Acties:

alt-92

ye olde farte

Kijk eens goed naar het subnetmask wat voor je reverse zone is aangemaakt...
10.1.x.x/16 = 255.255.0.0.
Je huidige reverse is 10.x.x.x /8 (255.0.0.0)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 19 september 2006 02:04

Acties:

mookie

Heerlijk Helder

grayed out zone, nog nooit van gehoord.
Het lijkt erop dat de DNS zone in het register van die server wel bestaat maar de file niet aanwezig is.

Kijk eens in c:\windows\system32\dns
Daarin zie je bestanden staan die eindigen op .dns
Die heb je zelfs als je zone AD integrated is. Die worden aangemaakt vanuit AD voor als je wilt repliceren naar secondary DNS servers, die werken file-based.

Als het goed is zie je daar een zone en die heet 10.10.in-addr.arpa.dns
Kijk ff op beide servers.

Die [4643] is de versie van de zone.
server A loopt achter op server B, maar ze synchroniseren wel. anders lagen die getallen veel verder uit elkaar.
Je zegt dat je W2K3 draait. in W2K zaten de zones in de domain partition van je AD. Sinds W2K3 kun je die ook apart zetten in een zogenaamde application partition. Als je DNS server is ingesteld om te repliceren naar alle DNS servers in je forest wordt hij in een aparte AD partitie gezet.
(bij alle DNS servers in je domein volgens mij ook maar dat ben ik ff kwijt.)

Anyway, let erop dat als niet beide DC's W2K3 zijn dat je die zone moet veranderen in alle domain controllers in je domain ipv alle DNS server in je domein of je forest.

selecteer die grijze zone eens, ga dan naar de properties.
Op het eerst tabblad, general, zie je Replication: en dan waar je naar repliceert.

Als beide DC's W2K3 zijn en je repliceert naar alle DNS server in je domein (standaard) dan is je zone file waarschijnlijk gewoon verneukt.
Is echter makkelijk op te lossen. DNS service stoppen, zone file openen in notepad, helemaal leegmaken en saven, dns service starten, afwachten.
Maak eerst ff kopietje voor de zekerheid.
Probeer die file maar eens te openen in notepad op beide servers en kijk maar eens of er verschil in zit, en of die uberhaupt bestaat op Server A.

mookie

dinsdag 19 september 2006 02:10

Acties:

mookie

Heerlijk Helder

PS: welke zone file hij moet gebruiken staat dus in het register.

Kijk maar eens naar HKLM\Software\Microsoft\Windows NT\Currentversion\DNS Server\Zones.
Daaronder staat die 10.10.de rest waarschijnlijk en hoe de file zou moeten heten.
Kijk eens of die dns zone file er wel is.

mookie

dinsdag 19 september 2006 08:42

Acties:

nextware

Topicstarter

Checklist:
a)kijk hoe je reverse is geconfigureerd, heb je toevallig 2 primary dns draaien?
b)if not, force eens een dns update vanaf server A
c)is het mogelijk reverse dns (snel) opnieuw aan te maken?

A: Op beide servers staat aangegeven: Active Directory-Integrated Primary

Wat je ook ziet is dat beide SOA's een andere numeric waarde hebben (hoogste is de baas), terwijl dit eigenlijk gelijk moet zijn of hooguit 1 verschillen. Heb je hier toevallig iets aan veranderd recentelijk?

Om de één of andere vage reden waren beide getallen vanmorgen ineens indentiek. [4645]. Blijkbaar is er toch een goede replicatie geweest ( deels waarschijnlijk ).

Het lijkt erop dat de DNS zone in het register van die server wel bestaat maar de file niet aanwezig is.

Kijk eens in c:\windows\system32\dns
Daarin zie je bestanden staan die eindigen op .dns

Op Server A bestaat deze file wel en op Server B NIET

. Deze file heet trouwens 10.in-addr.arpa.dns

selecteer die grijze zone eens, ga dan naar de properties.
Op het eerst tabblad, general, zie je Replication: en dan waar je naar repliceert.

Die optie heb ik niet staan. Ik krijg een scherm te zien waar een overzicht van de Name Servers te zien. Op beide servers wordt hier Server A aangegeven met het bijbehorende IP-adres: 10.1.1.1

Nu zaten we te denken of het mogelijk is dat we de bovengenoemde DNS file gewoon van server A naar Server B te kopiëren. Of is dit iets te simpel gedacht ?

Edit:

Nog even op internet rondgesnuffeld. Daar vond ik onderstaande:

A secondary server gets all its zone information from a master DNS server. The secondary DNS server hosts a read-only copy of the zone file, which it gets from the primary server or another secondary DNS server. Through a process known as a zone transfer, the master DNS server sends a copy of the zone file to the secondary server.

Zou het dus inderdaad gewoon een kwestie zijn van kopiëren ?

[ Voor 13% gewijzigd door nextware op 19-09-2006 09:45 ]

dinsdag 19 september 2006 10:15

Acties:

nextware

Topicstarter

Ik post dit even in een nieuwe reply om het één en ander een beetje overzichtelijk te houden:

Wat ik een beetje gelezen heb over DNS replicaties, wordt dat gedaan door middel van Zone Transfer. Nu heb ik dit eens opgezocht op Server A. Daar blijkt dat wel de Forward Lookup Zones worden gerepliceerd dmv Zone Transfer. (zie HOW TO: Configure a Secondary Name Server in Windows Server 2003)

Nu heb ik gelijk gekeken bij de Reverse Lookup Zones en dan de 10.10.x. zone. Deze wordt dus niet gerepliceerd. De optie Zone Transfer staat daar niet aangevinkt.

Kan het daarom zijn dat de DNS file niet wordt overgezet van Server A naar Server B ? Kan het kwaad als ik dit aanzet

*Notes to himself: iets meer gaan lezen over DNS.....*

[ Voor 3% gewijzigd door nextware op 19-09-2006 10:16 ]

dinsdag 19 september 2006 12:22

Acties:

alt-92

ye olde farte

dat je de .dns files niet ziet op server B is logisch aangezien deze alleen aan worden gemaakt als je een non-AD integrated primary zone aanmaakt.
Als je die daarna upgrade dan blijft de file er wel, maar bij het repliceren van een AD integrated zone gaat die natuurlijk niet mee (want de info staat toch in AD).

ergo:
je kan dus ook je reverse zone AD integrated maken en laten repliceren, zo zorg je er ook voor dat je niet ergens een stale zone hebt waardoor je vag resolving errors kan krijgen.

PS:

nextware schreef op maandag 18 september 2006 :
(same as parent folder) Name Server (NS) serverA.domeinnnaam.lan

Ik hoop dat dat met die 3x N in domeinnaam een consequente spelfout is in je post, en niet in de zonefile zelf?

[ Voor 22% gewijzigd door alt-92 op 19-09-2006 12:26 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 20 september 2006 02:23

Acties:

mookie

Heerlijk Helder

ik heb het ff nagekeken: alleen op de server waar de zone initieel is aangemaakt wordt idd die zone file aangemaakt, op de andere niet.
Dit is als je echt secondaries DNS server hebt, en dat wil je niet als je ook AD integrated kunt hebben

Het feit dat ie repliceert zegt genoeg.
Niet aankomen, dit draait prima.

Doe eens rechtermuisknop op je dns server, dus net onder DNS staat je server naam, daar rechtermuisknop op.
Dan kies je properties.
Dan ga je naar het forwarders tabblad.
in het vakje van DNS domain: staat als het goed is All other DNS domains.
Het "Selected domain's forwarder IP address list" is als het goed is helemaal leeg.
Check dit op server A en B en laat ff weten of dit klopt.

mookie

woensdag 20 september 2006 07:47

Acties:

nextware

Topicstarter

mookie schreef op woensdag 20 september 2006 @ 02:23:
Doe eens rechtermuisknop op je dns server, dus net onder DNS staat je server naam, daar rechtermuisknop op.
Dan kies je properties.
Dan ga je naar het forwarders tabblad.
in het vakje van DNS domain: staat als het goed is All other DNS domains.
Het "Selected domain's forwarder IP address list" is als het goed is helemaal leeg.
Check dit op server A en B en laat ff weten of dit klopt.

Ja, allebei de lijsten zijn helemaal leeg.
Gisteren er nog een hele tijd mee bezig geweest, om te kijken waarom die ene 10.x zone grijs is. Als ik er eigenschappen van opvraag, krijg ik allen een scherm te zien waar een overzicht van de Name Servers te zien. Op beide servers wordt hier Server A aangegeven met het bijbehorende IP-adres: 10.1.1.1

donderdag 21 september 2006 18:23

Acties:

mookie

Heerlijk Helder

nu zie ik het:

[/quote]
(same as parent folder) Name Server (NS) serverA.domeinnnaam.lan
[quote]

die zone is op 1 of andere manier delegated naar serverA.
Dan is ie grijs.
Als je W2K3 schoon hebt opgezet en niet vanuit W2K hebt geupgrade dan is dat ook het geval met je _msdcs zone.
Kijk maar eens in die zone die hetzelfde heet als je domein.
Daaronder zit een ._msdcs map en die moet ook grijs zijn.
Wat je dus ook op die dns server ziet is dat er naast een zone die hetzelfde heet als je domein een zone is en die heet _msdcs.domeinnaam.lan

Wat er bij jou gebeurt:

een client wil zijn PTR record registreren.
Komt bij server A uit.
Die ziet dat de .10 map uit 10.x.x.x is gedelegate naar server A.
Vervolgens komt hij bij zichzelf uit en daar ziet hij geen 10.10.in-addr.arpa
Dan krijg je een probleem.

Wat je dus zou moeten doen:
Die delegation (die grijze map) gewoon verwijderen, hij werkt toch niet, je kunt hem later eventueel weer aanmaken. Als hij op server A ook grijs is daar ook verwijderen.

Controleren of je geen 10.10.in-addr.arpa hebt.
Als je die wel hebt, kijken of er statische PTR records inzitten die je nodig zou kunnen hebben, indien ja dan moet je die aanmaken in je 10.in-addr.arpa zone.

Gewoon afwachten... die gele mappen is niets anders dan een visuele weergave van je zonefile (in AD of fysiek bestand is hetzelfde). Die gele mappen zijn geen echte onderverdeling, het is meer een mooie opmaak om het leesbaar te maken.

Als je nu naar een DHCP client gaat open je een command prompt.
Type daar in: ipconfig /registerdns
Nu sluit je op de server je DNS console en open je hem opnieuw.
Als het goed is en die client heeft b.v. 10.10.64.5 dan zul je onder de 10.in-addr.arpa een geel mapje van .10 zien, daaronder een mapje .64 en daarin een PTR record voor 5.
Kan ook zijn dat onder .10 een PTR record is dat 5.64 heet.

Probeer maar eens, zit geen risico aan.
Als het je niet aanstaat selecteer je gewoon 10.in-addr.arpa.
Dan pas rechtermuisknop en kies new delegation.
Dan kun je zo die delegation weer aanmaken.

mookie

vrijdag 22 september 2006 08:27

Acties:

nextware

Topicstarter

mookie schreef op donderdag 21 september 2006 @ 18:23:
Problem solved !!!!!

Ik heb uitgevoerd wat je hebt aangegeven. Op dit moment zijn inderdaad die zones weer aangemaakt en vol met info weergegeven.
De DNS log op de server wordt ook niet meer volgespammed!!

Zo te zien heeft dit het probleem opgelost

Thx Mookie !!

zaterdag 23 september 2006 19:31

Acties:

alt-92

ye olde farte

Ik geloof dat ik dat ook al had gezegd dat je subnets niet overeenkwamen

BackSlash32 schreef op maandag 18 september 2006 @ 22:16:
Kijk eens goed naar het subnetmask wat voor je reverse zone is aangemaakt...
10.1.x.x/16 = 255.255.0.0.
Je huidige reverse is 10.x.x.x /8 (255.0.0.0)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 5 januari 2007 11:23

Acties:

c0sje

Ik kick dit topic even. Ik heb een windows 2003 SBS die als DNS server gaat dienen. De server heeft het ip: 10.87.3.1 met een /16 subnet (255.255.0.0). Wat wordt nu mijn Reverse Look-up zone?

3.87.10.in-addr.arpa?

of

10.87.10.in-addr.arpa?

Alvast bedankt

vrijdag 5 januari 2007 12:53

Acties:

liledevil

DELL EVIL I

c0sje schreef op vrijdag 05 januari 2007 @ 11:23:
Ik kick dit topic even. Ik heb een windows 2003 SBS die als DNS server gaat dienen. De server heeft het ip: 10.87.3.1 met een /16 subnet (255.255.0.0). Wat wordt nu mijn Reverse Look-up zone?

3.87.10.in-addr.arpa?

of

10.87.10.in-addr.arpa?

Alvast bedankt

[off]
Ik denk niet dat de modjes blij zijn met de kick

[/off]
Maar je reverse zone wordt 3.87.10.in-addr.arpa of 87.10.in-addr.arpa, afhankelijk van welke records je wilt bijhouden in deze DNS

[ Voor 7% gewijzigd door liledevil op 05-01-2007 12:58 ]

if you pay peanuts, you get monkeys

vrijdag 5 januari 2007 12:58

Acties:

Verwijderd

dat geloof ik niet...

Het subnet is 16 bits, dus de reverse lookup zone wordt: 87.10.in-addr.arpa, toch?

zaterdag 6 januari 2007 15:14

Acties:

Equator

Crew Council

#whisky #barista

c0sje schreef op vrijdag 05 januari 2007 @ 11:23:
Ik kick dit topic even. Ik heb een windows 2003 SBS die als DNS server gaat dienen. De server heeft het ip: 10.87.3.1 met een /16 subnet (255.255.0.0). Wat wordt nu mijn Reverse Look-up zone?

3.87.10.in-addr.arpa?

of

10.87.10.in-addr.arpa?

Alvast bedankt

Ten eerste heeft dit natuurlijk niets met het originele topic te maken en ten tweede is het een vrij basic vraag die je makkelijk zelf had kunnen oplossen.

Pagina: 1

Dit topic is gesloten.