Freigeben über

Problembehandlung bei DNS-Servern

Testen Sie unseren virtuellen Agent – er kann Ihnen helfen, häufige DNS-Probleme schnell zu identifizieren und zu beheben.

In diesem Artikel wird erläutert, wie Sie Probleme auf DNS-Servern beheben.

Überprüfen der IP-Konfiguration

  1. Führen Sie ipconfig /all in einer Eingabeaufforderung aus und überprüfen Sie die IP-Adresse, die Subnetzmaske und das Standardgateway.

  2. Überprüfen Sie, ob der DNS-Server autoritativ für den angefragten Namen ist. Wenn ja, lesen Sie Überprüfen auf Probleme mit autoritativen Daten.

  3. Führen Sie den folgenden Befehl aus:

    nslookup <name> <IP address of the DNS server>

    Beispiel:

    nslookup app1 10.0.0.1

    Wenn Sie eine Fehler- oder Timeoutantwort erhalten, lesen Sie Überprüfen auf Rekursionsprobleme.

  4. Leeren sie den Resolvercache. Führen Sie dazu den folgenden Befehl in einem Verwaltungs-Eingabeaufforderungsfenster aus:

    dnscmd /clearcache

    Oder führen Sie in einem Administrativen PowerShell-Fenster das folgende Cmdlet aus:

    Clear-DnsServerCache

    Hinweis

    Wenn der Server als DNS-Client funktioniert (z. B. wenn er Namen für eigene Vorgänge auflösen muss), verwenden Sie Clear-DnsClientCache, um den lokalen DNS-Client-Cache zu löschen. Wenn Sie Probleme im Zusammenhang mit der Rolle des Servers als DNS-Server beheben (DNS-Einträge für andere Clients anbieten), verwenden Sie Clear-DnsServerCache, um den autorisierenden Cache des Servers zu löschen und um zu verhindern, dass veraltete DNS-Informationen geliefert werden.

  5. Wiederholen Sie Schritt 3.

Überprüfen von DNS-Serverproblemen

Ereignisprotokoll

Überprüfen Sie die folgenden Protokolle, um festzustellen, ob aufgezeichnete Fehler vorhanden sind:

  • Anwendung

  • System

  • DNS-Server

Testen mithilfe einer nslookup-Abfrage

Führen Sie den folgenden Befehl aus, und überprüfen Sie, ob der DNS-Server von Clientcomputern erreichbar ist.

nslookup <client name> <server IP address>

  • Wenn der Resolver die IP-Adresse des Clients zurückgibt, hat der Server keine Probleme.

  • Wenn der Resolver eine Antwort "Serverfehler" oder "Abfrage verweigert" zurückgibt, wird die Zone wahrscheinlich angehalten, oder der Server wird möglicherweise überladen. Sie können erfahren, ob sie angehalten wird, indem Sie die Registerkarte "Allgemein" der Zoneneigenschaften in der DNS-Konsole überprüfen.

Wenn der Resolver eine Antwort "Zeitüberschreitung bei der Serveranforderung" oder "Keine Serverantwort" zurückgibt, läuft der DNS-Dienst wahrscheinlich nicht. Versuchen Sie, den DNS-Serverdienst neu zu starten, indem Sie Folgendes an einer Eingabeaufforderung auf dem Server eingeben:

net start DNS

Wenn das Problem auftritt, wenn der Dienst ausgeführt wird, überwacht der Server möglicherweise nicht die IP-Adresse, die Sie in Ihrer nslookup-Abfrage verwendet haben. Auf der Registerkarte "Schnittstellen" der Seite "Servereigenschaften" in der DNS-Konsole können Administratoren den DNS-Server so einschränken, dass er nur auf ausgewählte Adressen lauscht. Wenn der DNS-Server so konfiguriert wurde, dass der Dienst auf eine bestimmte Liste seiner konfigurierten IP-Adressen beschränkt wird, ist es möglich, dass die ZUM Kontaktieren des DNS-Servers verwendete IP-Adresse nicht in der Liste enthalten ist. Sie können eine andere IP-Adresse in der Liste ausprobieren oder der Liste die IP-Adresse hinzufügen.

In seltenen Fällen verfügt der DNS-Server möglicherweise über eine erweiterte Sicherheits- oder Firewallkonfiguration. Wenn sich der Server in einem anderen Netzwerk befindet, das nur über einen Zwischenhost erreichbar ist (z. B. einen Paketfilterrouter oder Proxyserver), verwendet der DNS-Server möglicherweise einen nicht standardmäßigen Port, um Clientanforderungen zu überwachen und zu empfangen. Standardmäßig sendet nslookup Abfragen an DNS-Server am UDP-Port 53. Wenn der DNS-Server daher einen anderen Port verwendet, schlagen nslookup-Abfragen fehl. Wenn Sie der Meinung sind, dass dies das Problem sein könnte, überprüfen Sie, ob absichtlich ein Zwischenfilter verwendet wird, um den Datenverkehr auf bekannten DNS-Ports zu blockieren. Wenn dies nicht der Fehler ist, versuchen Sie, die Paketfilter oder Portregeln für die Firewall zu ändern, um Datenverkehr auf UDP/TCP Port 53 zuzulassen.

Überprüfung von Problemen mit amtlichen Daten

Überprüfen Sie, ob der Server, der die falsche Antwort zurückgibt, ein primärer Server für die Zone (der Standard-Primärserver für die Zone oder ein Server, auf dem die Active Directory-Integration zum Laden der Zone verwendet wird) oder ein Server, auf dem eine sekundäre Kopie der Zone gehostet wird.

Wenn es sich bei dem Server um einen primären Server handelt

Das Problem kann durch Benutzerfehler verursacht werden, wenn Benutzer Daten in die Zone eingeben. Oder es kann durch ein Problem verursacht werden, das sich auf die Active Directory-Replikation oder das dynamische Update auswirkt.

Wenn der Server eine sekundäre Kopie der Zone hosten soll

  1. Untersuchen Sie die Zone auf dem primären Server (der Server, von dem dieser Server Zonenübertragungen abruft).

    Hinweis

    Sie können ermitteln, welcher Server der primäre Server ist, indem Sie die Eigenschaften der sekundären Zone in der DNS-Konsole untersuchen.

    Wenn der Name auf dem primären Server nicht korrekt ist, fahren Sie mit Schritt 4 fort.

  2. Wenn der Name auf dem primären Server korrekt ist, überprüfen Sie, ob die Seriennummer auf dem primären Server kleiner oder gleich der Seriennummer auf dem sekundären Server ist. Ändern Sie in diesem Falle entweder den primären Server oder den sekundären Server so, dass die Seriennummer auf dem primären Server größer als die Seriennummer auf dem sekundären Server ist.

  3. Erzwingen Sie auf dem sekundären Server eine Zonenübertragung aus der DNS-Konsole, oder führen Sie den folgenden Befehl aus:

    dnscmd /zonerefresh <zone name>

    Wenn die Zone z. B. corp.contoso.com ist, geben Sie Folgendes ein: dnscmd /zonerefresh corp.contoso.com.

  4. Überprüfen Sie den sekundären Server erneut, um festzustellen, ob die Zone ordnungsgemäß übertragen wurde. Wenn nicht, haben Sie wahrscheinlich ein Zonenübertragungsproblem. Weitere Informationen finden Sie unter Zonenübertragungsprobleme.

  5. Wenn die Zone korrekt übertragen wurde, überprüfen Sie, ob die Daten jetzt korrekt sind. Wenn nicht, sind die Daten in der primären Zone falsch. Das Problem kann durch Benutzerfehler verursacht werden, wenn Benutzer Daten in die Zone eingeben. Oder es kann durch ein Problem verursacht werden, das sich auf die Active Directory-Replikation oder das dynamische Update auswirkt.

Überprüfen auf Rekursionsprobleme

Damit rekursion erfolgreich funktioniert, müssen alle DNS-Server, die im Pfad einer rekursiven Abfrage verwendet werden, in der Lage sein, auf korrekte Daten zu reagieren und weiterzuleiten. Wenn dies nicht möglich ist, kann eine rekursive Abfrage aus einem der folgenden Gründe fehlschlagen:

  • Die Anfrage wird durch ein Timeout unterbrochen, bevor sie abgeschlossen werden kann.

  • Ein Server, der während der Abfrage verwendet wird, reagiert nicht.

  • Ein Server, der während der Abfrage verwendet wird, stellt falsche Daten bereit.

Beginnen Sie mit der Problembehandlung auf dem Server, der in Ihrer ursprünglichen Abfrage verwendet wurde. Überprüfen Sie, ob dieser Server Abfragen an einen anderen Server weiterleitet, indem Sie die Registerkarte "Weiterleitungen " in den Servereigenschaften in der DNS-Konsole untersuchen. Wenn das Kontrollkästchen "Weiterleitung aktivieren " aktiviert ist und mindestens ein Server aufgelistet ist, leitet dieser Server Abfragen weiter.

Wenn dieser Server Abfragen an einen anderen Server weiterleitet, überprüfen Sie auf Probleme, die sich auf den Server auswirken, an den dieser Server Abfragen weiterleitet. Informationen zum Überprüfen auf Probleme finden Sie unter "Überprüfen von DNS-Serverproblemen". Wenn Sie in diesem Abschnitt angewiesen werden, eine Aufgabe auf dem Client auszuführen, führen Sie ihn stattdessen auf dem Server aus.

Wenn der Server fehlerfrei ist und Abfragen weiterleiten kann, wiederholen Sie diesen Schritt, und überprüfen Sie den Server, an den dieser Server Abfragen weiterleitet.

Wenn dieser Server Keine Abfragen an einen anderen Server weiterleitt, testen Sie, ob dieser Server einen Stammserver abfragen kann. Führen Sie zu diesem Zweck den folgenden Befehl aus:

nslookup
server <IP address of server being examined>
set q=NS

  • Wenn der Resolver die IP-Adresse eines Stammservers zurückgibt, verfügen Sie wahrscheinlich über eine fehlerhafte Delegierung zwischen dem Stammserver und dem Namen oder der IP-Adresse, die Sie auflösen möchten. Führen Sie das Verfahren zum Testen einer fehlerhaften Delegierung aus, um zu ermitteln, wo eine fehlerhafte Delegierung aufgetreten ist.

  • Wenn der Resolver die Antwort „Timeout für Anforderung an Server“ zurückgibt, überprüfen Sie, ob die Stammhinweise auf funktionierende Stammserver verweisen. Verwenden Sie dazu die Prozedur Anzeigen aktueller Stammhinweise. Wenn die Stammhinweise auf funktionierende Stammserver verweisen, liegt möglicherweise ein Netzwerkproblem vor, oder der Server verwendet möglicherweise eine erweiterte Firewallkonfiguration, die verhindert, dass der Resolver den Server abfragt, wie im Abschnitt "DNS-Serverprobleme überprüfen " beschrieben. Es ist auch möglich, dass die Timeoutstandardeinstellung für rekursive Abfragen zu kurz ist.

Testen einer fehlerhaften Delegierung

Beginnen Sie die Tests im folgenden Verfahren, indem Sie einen gültigen Stammserver abfragen. Der Test führt Sie durch einen Prozess zum Abfragen aller DNS-Server vom Stamm bis zum Server, den Sie für eine fehlerhafte Delegierung testen.

  1. Geben Sie an der Eingabeaufforderung auf dem Server, den Sie testen, Folgendes ein:

    nslookup
server <server IP address>
set norecursion
set querytype= <resource record type>
<FQDN>

    Hinweis

    Der Ressourcendatensatztyp ist der Typ des Ressourcendatensatzes, nach dem Sie in der ursprünglichen Abfrage abgefragt haben, und FQDN ist der FQDN, nach dem Sie abgefragt haben (durch einen Punkt beendet).

  2. Wenn die Antwort eine Liste der "NS"- und "A"-Ressourceneinträge für delegierte Server enthält, wiederholen Sie Schritt 1 für jeden Server, und verwenden Sie die IP-Adresse aus den "A"-Ressourceneinträgen als Ip-Adresse des Servers.

    • Wenn die Antwort keinen „NS“-Ressourcendatensatz enthält, liegt eine fehlerhafte Delegierung vor.

    • Wenn die Antwort "NS"-Ressourceneinträge, aber keine "A"-Ressourceneinträge enthält, geben Sie "Set Recursion" ein, und fragen Sie einzeln nach "A"-Ressourceneinträgen von Servern ab, die in den "NS"-Datensätzen aufgeführt sind. Wenn Sie mindestens eine gültige IP-Adresse eines "A"-Ressourcendatensatzes für jeden NS-Ressourceneintrag in einer Zone nicht finden, haben Sie eine fehlerhafte Delegierung.

  3. Wenn Sie feststellen, dass eine fehlerhafte Delegierung vorhanden ist, beheben Sie sie, indem Sie einen "A"-Ressourceneintrag in der übergeordneten Zone hinzufügen oder aktualisieren, indem Sie eine gültige IP-Adresse für einen richtigen DNS-Server für die delegierte Zone verwenden.

So zeigen Sie die aktuellen Stammhinweise an

  1. Starten Sie die DNS-Konsole.

  2. Hinzufügen oder Herstellen einer Verbindung mit dem DNS-Server, bei dem eine rekursive Abfrage fehlgeschlagen ist.

  3. Klicken Sie mit der rechten Maustaste auf den Server, und wählen Sie "Eigenschaften" aus.

  4. Klicken Sie auf „Stammhinweise“.

Überprüfen Sie die grundlegende Konnektivität mit den Stammservern.

  • Wenn Stammhinweise offenbar ordnungsgemäß konfiguriert sind, überprüfen Sie, ob der DNS-Server, der in einer fehlerhaften Namensauflösung verwendet wird, die Stammserver nach IP-Adresse pingen kann.

  • Wenn die Stammserver nicht auf Pings nach IP-Adresse reagieren, haben sich die IP-Adressen für die Stammserver möglicherweise geändert. Es ist jedoch ungewöhnlich, eine Neukonfiguration von Stammservern zu sehen.

Probleme bei der Zonenübertragung

Führen Sie die folgenden Prüfungen aus:

  • Überprüfen Sie die Ereignisanzeige für sowohl den primären als auch den sekundären DNS-Server.

  • Überprüfen Sie den primären Server, um festzustellen, ob er die Übertragung aus Sicherheitsgründen verweigert.

  • Überprüfen Sie die Registerkarte "Zonenübertragungen" der Zoneneigenschaften in der DNS-Konsole. Wenn der Server Zonenübertragungen auf eine Liste von Servern einschränkt, z. B. die auf der Registerkarte " Namenserver " der Zoneneigenschaften aufgeführten, stellen Sie sicher, dass sich der sekundäre Server in dieser Liste befindet. Stellen Sie sicher, dass der Server so konfiguriert ist, dass Zonenübertragungen gesendet werden.

  • Überprüfen Sie den primären Server auf Probleme, indem Sie die Schritte im Abschnitt "DNS-Serverprobleme überprüfen " ausführen. Wenn Sie aufgefordert werden, eine Aufgabe auf dem Client auszuführen, führen Sie stattdessen die Aufgabe auf dem sekundären Server aus.

  • Überprüfen Sie, ob der sekundäre Server eine andere DNS-Serverimplementierung ausführt, z. B. BIND. Wenn dies der Grund ist, kann das Problem eine der folgenden Ursachen haben:

    • Der primäre Windows-Server kann so konfiguriert werden, dass schnelle Zonenübertragungen gesendet werden, der sekundäre Server von Drittanbietern unterstützt jedoch möglicherweise keine Übertragungen der schnellen Zone. Wenn dies der Fall ist, deaktivieren Sie schnelle Zonenübertragungen auf dem primären Server im DNS-Console, indem Sie das Kontrollkästchen "Bind-Secondaries aktivieren" auf der Registerkarte "Erweitert" der Eigenschaften für Ihren Server auswählen.

    • Wenn eine Forward-Lookupzone auf dem Windows-Server einen Datensatztyp (z. B. einen SRV-Eintrag) enthält, den der sekundäre Server nicht unterstützt, kann der sekundäre Server Probleme beim Abrufen der Zone haben.

Überprüfen Sie, ob der primäre Server eine andere DNS-Serverimplementierung ausführt, z. B. BIND. In diesem Fall ist es möglich, dass die Zone auf dem primären Server inkompatible Ressourceneinträge enthält, die Windows nicht erkennt.

Wenn entweder der Master- oder der sekundäre Server eine andere DNS-Serverimplementierung ausführt, überprüfen Sie beide Server, um sicherzustellen, dass sie dieselben Features unterstützen. Sie können den Windows-Server in der DNS-Konsole auf der Registerkarte "Erweitert " der Eigenschaftenseite für den Server überprüfen. Zusätzlich zum Kontrollkästchen „Binden von Sekundärdservern aktivieren“ enthält diese Seite die Dropdownliste Namensüberprüfung. Auf diese Weise können Sie die Erzwingung der strengen RFC-Compliance für Zeichen in DNS-Namen auswählen.