Freigeben über

Leitfaden zur Problembehandlung für DNS

Testen Sie unseren Virtual Agent – Er kann Ihnen helfen, häufige DNS-Probleme schnell zu erkennen und zu beheben.

Diese Lösung ist für die Problembehandlung von DNS-Szenarien (Domain Name System) konzipiert. Sie können DNS-Problembehandlungsprobleme in serverseitige und clientseitige Kategorien sortieren.

Checkliste zur Problembehandlung

Serverseitige Probleme

  • IP-Konfiguration
  • DNS-Server
  • Autoritative Daten
  • Rekursion
  • Zonenübertragung

Clientseitige Probleme

  • IP-Konfiguration
  • Netzwerkkonnektivität

Bekannte Probleme und Lösungen

Supportrichtlinie für die clientseitige Zwischenspeicherung von DNS-Clients auf DNS-Clients

Windows enthält einen clientseitigen DNS-Cache. Es wird empfohlen, die clientseitige Zwischenspeicherung von DNS-Clients auf DNS-Clients nicht zu deaktivieren. Eine Konfiguration, in der die clientseitige Zwischenspeicherung von DNS deaktiviert ist, wird nicht unterstützt.

Microsoft garantiert nicht, dass eine Lösung für Probleme gefunden wird, die nicht unterstützte Geräte oder Konfigurationen umfassen. Wenn keine Lösung gefunden wird, werden die Kosten einer Untersuchung des Vorfalls nicht erstattet. Wenn nicht vereinbart wird, dass eine Lösung nicht garantiert ist, wird Microsoft-Support das Problem nicht beheben und die Kosten für die Untersuchung des Vorfalls erstatten.

DNS-Einträge fehlen in einer DNS-Zone

Dieses Problem kann eine der folgenden Ursachen haben.

DNS-Gerüst ist falsch konfiguriert.

Wenn DNS-Einträge in DNS-Zonen fehlen, ist der Aufräumvorgang die häufigste Ursache. Selbst Windows-basierte Computer, auf denen statisch DNS-Server zugewiesen sind, registrieren alle 24 Stunden ihre Einträge. Überprüfen Sie, ob die Aktualisierungs- und Aktualisierungsintervalle zu niedrig sind. Wenn diese Werte beispielsweise weniger als 24 Stunden sind, gehen DNS-Einträge verloren.

Informationen zum Beheben dieses Problems und zum Verständnis von Aktualisierungs- und Aktualisierungsintervallen finden Sie unter Verwenden von DNS-Alterung und Gerüsterstellung.

Host "A"-Eintrag wird gelöscht, wenn die IP-Adresse geändert wird

Manchmal wird der Hosteintrag "A" auf dem ursprünglichen DNS-Server gelöscht, nachdem der Hosteintrag "A" auf der neu konfigurierten DNS-Server-IP-Adresse (Active Directory Integrated DNS) registriert wurde. Aus Benutzersicht ist alles, was von der Namensauflösung abhängt, fehlerhaft. Wenn die IP-Adresse des DNS-Servers auf dem Client geändert wird, sendet der Client eine SoA-Aktualisierung (Start of Authority), um den "A"-Eintrag vom vorherigen DNS-Server zu löschen. Anschließend wird ein weiteres Update gesendet, um seinen A-Eintrag beim neuen DNS-Server zu registrieren.

Das Problem tritt in Zonen auf, die in Active Directory integriert sind. Probleme treten auf, wenn die IP-Adresse des DNS-Servers auf dem Client geändert wird. Wenn sich die IP-Adresse ändert, sendet der Client eine Registrierungsanforderung an den neuen Server und sendet eine Löschanforderung an den vorherigen Server. Da beide Server bereits synchronisiert sind, werden die Datensätze nicht registriert. Auf dem vorherigen Server löscht der DNS-Dienst den "A"-Eintrag, und dann repliziert der Löschvorgang auf den neuen Server. Daher wird der Datensatz auf beiden Servern gelöscht.

DHCP-Clients, die dhcp Option 81 verwenden, heben die Registrierung von Host-"A"-Einträgen während der Hostregistrierung "AAAA" auf

Dieses Problem tritt auf, wenn DHCP-Clientcomputer ISATAP- oder 6to4-Netzwerkadapter verwenden, und sowohl die DNS-Clients als auch die DNS-Server sind so konfiguriert, dass DNS-Einträge dynamisch aktualisiert werden. Aufgrund dieser Konfiguration ist DHCP-Option 81 (auch als Client-FQDN-Option bezeichnet) sowohl auf den Clients als auch auf den Servern aktiviert. In diesem Fall kann der DHCP-Server den DNS-Eintrag "A" des Clients (IPv4) erstellen. Anschließend erstellt der Client seinen "AAAA"-Eintrag (IPv6). Im Rahmen dieses Vorgangs sendet der Client jedoch zuerst einen aktualisierten "A"-Datensatz mit einer Zeit-zu-Live-Aufzeichnung (TTL) von 0. Daher löscht der DNS-Server den "A"-Eintrag des Clients, während er den "AAAA"-Eintrag registriert.

Um dieses Verhalten zu umgehen, vermeiden Sie die Konfiguration von DHCP-Clients, die diese Adapter verwenden, um DNS-Einträge dynamisch zu aktualisieren, wenn die DHCP-Server bereits so konfiguriert sind.

Notiz

Weitere Informationen zu DHCP-Option 81 finden Sie unter Unerwartetes DNS-Eintragsregistrierungsverhalten, wenn DHCP-Server "Dns-Einträge immer dynamisch aktualisieren" verwendet. In diesem Artikel wird ein anderes Problem beschrieben, aber weitere Informationen zu DHCP-Option 81.

Die DNS-Aktualisierung des dynamischen Updateprotokolls für vorhandene DNS-Einträge schlägt fehl.

Die AKTUALISIERUNG des dynamischen DNS-Updateprotokolls für vorhandene Einträge schlägt fehl. Aufgrund dieses Problems betrachtet der DNS-Gerüstprozess das Alter der Einträge und löscht sie.

Im Falle eines Diensts, der einen SRV-Eintrag erfordert, protokolliert der lokale Netlogon-Dienst Ereignisse "Ereignis-ID 577X", wenn srV-Einträge nicht registriert werden können. Wenn beispielsweise der Netlogon-Dienst eines Domänencontrollers ein dynamisches Update für seinen LDAP SRV-Eintrag auslöst und dieses Update fehlschlägt, protokolliert der Netlogon-Dienst ein Ereignis auf dem Domänencontroller. Andere Ereignisse werden für Registrierungsfehler von Host-A- und PTR-Einträgen protokolliert. Überprüfen Sie die Systemereignisprotokolle auf den DNS-Servern und anderen betroffenen Computern auf diese Fehler. Der Client, der diese Datensätze registriert, kann solche Ereignisse protokollieren, oder die DHCP-Server, die die Datensätze im Auftrag des Clients registrieren, können sie protokollieren. Diese zusätzlichen Ereignisse können Einblicke in die Ursache des Fehlers liefern.

Beim Konvertieren einer aktiven dynamischen Lease in eine Reservierung werden die Datensätze "A" und PTR für diesen Client gelöscht.

Dieses Verhalten ist beabsichtigt. Die DNS-Einträge („A“ oder PTR) werden automatisch während der nächsten DHCP-Verlängerungsanforderung vom Client aktualisiert.

Vermeiden der Registrierung unerwünschter Netzwerkadapter in DNS

Wenn ein Netzwerkadapter für die Registrierung der Verbindungsadresse in DNS konfiguriert ist, registrieren die DHCP/DNS-Clientdienste den Eintrag in DNS. Wenn ein Computer über einen Netzwerkadapter verfügt, den Sie nicht registrieren möchten, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie in Netzwerkverbindungen die Eigenschaften für den unerwünschten Netzwerkadapter, öffnen Sie TCP/IP-Eigenschaften, wählen Sie Advanced>DNS aus, und deaktivieren Sie dann das Kontrollkästchen "Diese Verbindungsadresse in DNS registrieren".
  2. Öffnen Sie im linken Bereich die DNS-Serverkonsole, markieren Sie den Server, und wählen Sie dann Aktion>Eigenschaften aus.
  3. Wählen Sie auf der Registerkarte Schnittstellen die Option Nur an den folgenden IP-Adressen lauschen aus. Entfernen Sie die unerwünschte IP-Adresse aus der Liste.
  4. Wählen Sie auf der Seite "Zoneneigenschaften " die Registerkarte "Name server " aus. Zusätzlich zum FQDN des Domänencontrollers listet diese Registerkarte die IP-Adresse auf, die dem Domänencontroller zugeordnet ist. Entfernen Sie die unerwünschte IP-Adresse, wenn sie aufgeführt ist.
  5. Löschen Sie den vorhandenen unerwünschten Host -Eintrag "A" des Domänencontrollers.

DNS-Abfrageantwortverzögerungen

Eine DNS-Abfrageanforderung kann ein Timeout sein, wenn der DNS-Server die Abfrage an nicht erreichbare Weiterleitungen oder Stammhinweise weiterleitet. Um dieses Problem zu beheben, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die DNS-Konsole auf dem DNS-Server, und überprüfen Sie, ob Weiterleitungen oder bedingte Weiterleitungen erreichbar sind. Wenn eine der Weiterleitungen nicht erreichbar ist, entfernen Sie sie.
  2. Wenn der DNS-Server keine Weiterleitungen und Stammhinweise verwenden muss, öffnen Sie die DNS-Konsole auf dem DNS-Server, öffnen Sie das Fenster "Servereigenschaften", wählen Sie "Erweitert" aus, und aktivieren Sie dann "Rekursion deaktivieren". (Diese Einstellung deaktiviert auch Weiterleitungen.)

Ereignis-ID 4004 und Ereignis-ID 4013

Ereignisnachricht:

Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff auf das Verzeichnis nicht arbeiten. Der DNS-Server wartet auf den Start des Verzeichnisses. Wenn der DNS-Server gestartet ist, aber das entsprechende Ereignis nicht protokolliert wurde, wartet der DNS-Server noch auf den Start des Verzeichnisses.

Informationen zur Problembehandlung finden Sie unter "Problembehandlung bei AD DS", und starten Sie den DNS-Serverdienst neu.

Die GEO-Standortrichtlinie von DNS Server funktioniert nicht wie erwartet.

Nehmen Sie das folgende Szenario als Beispiel:

  • Sie verwenden eine active Directory-integrierte Zone (Standardzonenbereich), die den Namen "contoso.com" hat.
  • Sie verwenden Geo-Location-Zonenbereiche, die bestimmten Subnetzen zugeordnet sind.
  • Sie verwenden das Windows PowerShell-Cmdlet Add-DnsServerQueryResolutionPolicy zum Konfigurieren von DNS-Auflösungsrichtlinien.

In diesem Szenario ist das gewünschte Ergebnis, dass ein Client versucht, eine angeforderte Ressource zu suchen, zuerst im lokalen Zonenbereich und dann im Standardzonenbereich. Nachdem die Organisation diese Richtlinien konfiguriert hat, können Clients aus den definierten Subnetzen jedoch keine Datensätze auflösen, die im Standardzonenbereich (contoso.com) gehostet werden. Clients können z. B. hostA.contoso.com nicht auflösen. Wenn der DNS-Server solche Anforderungen empfängt, wird eine Meldung vom Typ "Serverfehler" zurückgegeben.

Um dieses Problem zu beheben, lesen Sie die GEO-Standortrichtlinie des DNS-Servers nicht wie erwartet.

Die weitergeleitete DNS-Namensauflösung schlägt bei dual gestapelten Abfragen fehl.

Sie verwenden eine DRITTANBIETER-DNS-Serverlösung, und Sie können Namen nicht konsistent auflösen, wenn Sie die bedingte Weiterleitung verwenden.

Der lokale DNS-Server (10.100.100.70) kann eine Verbindung mit dem DNS-Server herstellen, der als bedingte Weiterleitung (10.133.3.250) konfiguriert ist. Die erste Anforderung vom DNS-Server an den bedingten Weiterleitungsserver löst erfolgreich einen Namen (z. B. nbob1.contoso.com) auf. Nach einiger Zeit funktioniert die Namensauflösung nicht mehr. Eine nslookup-Abfrage an die bedingte Weiterleitung gibt eine Fehlermeldung "nicht vorhandene Domäne" zurück.

Wenn Sie den DNS-Servercache auf dem Weiterleitungscomputer (dem lokalen DNS-Server) löschen, wird die Namensauflösung fortgesetzt. Dieser Fix ist jedoch temporär.

Informationen zur Problembehandlung finden Sie unter "Weitergeleitete DNS-Namensauflösung" für dual gestapelte Abfragen.

DNS-Server verliert seine NIC-Teaming-Konfiguration

Nehmen Sie das folgende Szenario als Beispiel:

  • Der DNS-Servercomputer verfügt über mehrere Netzwerkadapter, die Sie in einer NIC-Teaming-Konfiguration verwenden.
  • Sie konfigurieren den DNS-Server, um die IP-Adresse des Teamnetzwerkadapters zu überwachen.
  • Auf der Registerkarte "Schnittstellen " des Dialogfelds "DNS-Servereigenschaften" im DNS-Manager können Sie die ip-Adresse konfigurieren, die Sie verwenden möchten.

Nachdem Sie den DNS-Server neu gestartet haben, löscht Windows die Einstellung. Der DNS-Server hört erneut auf alle IP-Adressen zu.

Wenn diese Änderung auftritt, protokolliert Windows die Ereignis-ID 410 im DNS-Serverereignisprotokoll:

Die DNS-Serverliste der eingeschränkten Schnittstellen enthält keine gültige IP-Adresse für den Servercomputer. Der DNS-Server verwendet alle IP-Schnittstellen auf dem Computer. Verwenden Sie die DNS-Manager-Servereigenschaften, das Dialogfeld "Schnittstellen", um die IP-Adressen zu überprüfen und zurückzusetzen, auf die der DNS-Server lauschen soll. Weitere Informationen finden Sie in der Onlinehilfe unter "So beschränken Sie einen DNS-Server so, dass er nur auf ausgewählte Adressen lauscht".

Um dieses Problem zu beheben, lesen Sie, dass der DNS-Server auf alle IP-Adressen statt auf die konfigurierte NIC-Teaming-IP-Adresse zurückhört.

DNS-Eintragsregistrierungsverhalten, wenn der DHCP-Server dynamische DNS-Updates verwaltet

Sie verfügen über eine Infrastruktur, die DHCP-Clients (Dynamic Host Configuration Protocol) und Microsoft DHCP-Server zum Zuweisen und Verwalten von IP-Adressen verwendet. Auf dem DHCP-Server wählen Sie dynamische DNS-Updates gemäß den folgenden Einstellungen aktivieren und DNS-Einträge immer dynamisch aktualisieren. In dieser Konfiguration erwarten Sie, dass der DHCP-Server dynamische DNS-Updates für "A"-Einträge und PTR-Einträge verwaltet. Sie stellen jedoch fest, dass sowohl der Client als auch der Server DNS-Einträge erstellen. Je nach Konfiguration hat dieses Verhalten die folgenden Auswirkungen:

  • Wenn Sie die DNS-Zonen für nicht unsichere und sichere dynamische Updates konfigurieren, sehen Sie, dass der DHCP-Server Datensätze erstellt, und der DHCP-Client löscht und erstellt die gleichen Einträge erneut.
  • Wenn Sie die DNS-Zonen für dynamische Updates für sichere dynamische Updates konfigurieren, werden DNS-Einträge möglicherweise inkonsistent. Sowohl der DHCP-Server als auch der DHCP-Client erstellen Datensätze. Der DHCP-Server kann jedoch keine Datensätze aktualisieren, die der DHCP-Client erstellt, und der DHCP-Client kann keine Datensätze aktualisieren, die der DHCP-Server erstellt.

Informationen zur Problembehandlung finden Sie unter DNS-Eintragsregistrierungsverhalten, wenn der DHCP-Server auf "Dns-Einträge immer dynamisch aktualisieren" festgelegt ist.

Datensammlung

Bevor Sie sich an Microsoft-Support wenden, können Sie Informationen zu Ihrem Problem sammeln.

Voraussetzungen

  • Führen Sie TSS im Sicherheitskontext eines Kontos mit Administratorrechten im lokalen System aus. Wenn Sie TSS zum ersten Mal ausführen, akzeptieren Sie die EULA. (Nachdem Sie den EULA akzeptiert haben, werden Sie von TSS nicht mehr aufgefordert.)
  • Es wird empfohlen, die RemoteSigned PowerShell-Ausführungsrichtlinie im LocalMachine Bereich zu verwenden.

Notiz

Wenn die aktuelle PowerShell-Ausführungsrichtlinie das Ausführen von TSS nicht zulässt, führen Sie die folgenden Aktionen aus:

  1. Legen Sie die Ausführungsrichtlinie RemoteSigned für die Prozessebene fest, indem Sie das Cmdlet ausführen. Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned
  2. Führen Sie das Get-ExecutionPolicy -List Cmdlet aus, um zu überprüfen, ob die Änderung wirksam wird.

Diese Berechtigungen auf Prozessebene gelten nur für die aktuelle PowerShell-Sitzung. Nachdem Sie das PowerShell-Fenster geschlossen haben, in dem TSS ausgeführt wird, wird die zugewiesene Berechtigung für die Prozessebene auf den zuvor konfigurierten Zustand zurückgesetzt.

Sammeln sie wichtige Informationen, bevor Sie sich an den Microsoft-Support wenden

  1. Laden Sie TSS auf allen Knoten herunter, und erweitern Sie die Datei in den Ordner "C:\tss ".

  2. Öffnen Sie den Ordner "C:\tss" in einem PowerShell-Eingabeaufforderungsfenster mit erhöhten Rechten.

  3. Starten Sie die Ablaufverfolgungen auf dem Client und Server, indem Sie die folgenden Cmdlets ausführen:

    • Client:

      TSS.ps1 -Scenario NET_DNScli

    • Server:

      TSS.ps1 -Scenario NET_DNSsrv

  4. Akzeptieren Sie die EULA, wenn die Ablaufverfolgungen zum ersten Mal auf dem Server oder dem Client ausgeführt werden.

  5. Aufzeichnung zulassen (PSR oder Video).

    Notiz

    Wenn Sie Protokolle sowohl auf dem Client als auch auf dem Server sammeln, warten Sie, bis diese Meldung auf beiden Knoten angezeigt wird, bevor Sie das Problem reproduzieren.

  6. Reproduzieren Sie das Problem.

  7. Geben Sie nach dem Reproduzieren des Problems Y ein, um die Protokollierungsdaten abzuschließen.

TSS speichert die Ablaufverfolgungen in einer komprimierten Datei im Ordner "C:\MS_DATA ". Sie können die Datei zur Analyse in den Arbeitsbereich hochladen.

References