Windows Domain Controller cacht Einträge von Conditional Forwarder

lima-city: Webhosting, Domains und Cloud
1 Pluspunkt 0 Minuspunkte
Ich habe auf einem Windows DC einen Conditional Forwarder eingerichtet. der scheint DNS Queries anscheinend zu cachen. Wenn ich versuche eine Domain aufzulösen die NICHT auf dem Conditional Forwarder (Linux bind) ist bekomme ich non-existent Domain, wenn ich dann den Eintrag am bind hinzufüge sagt der Windows DC trotzdem noch immer non-existent Domain solange bis ich auf dem DC ein manuelles "refresh" mache. Wieso ist das so und wie kann ich machen das jedes mal der Conditional Forwarder gefragt wird?
von (65 Punkte)  

1 Antwort

0 Pluspunkte 0 Minuspunkte

Das Verhalten ist typisch. Windows DNS cached negative Antworten (NXDOMAIN) ebenfalls. Das nennt sich Negative Caching und ist der Grund, warum du trotz neuer Einträge auf dem Forwarder weiterhin ein NX bekommst, bis der Cache abläuft oder manuell gelöscht wird.

Wenn dein Windows DNS Server eine Anfrage bekommt und der zuständige Forwarder (BIND) antwortet mit NXDOMAIN, speichert der Windows DNS diese negative Antwort für eine gewisse Zeit (TTL). Während dieser Zeit wiederholt er die Anfrage nicht, sondern liefert sofort wieder NXDOMAIN aus seinem Cache.

Der Negative Cache TTL wird vom SOA-Eintrag der Zone bestimmt (Wert "Minimum TTL" oder "Negative TTL"). Der Standardwert für Windows DNS kann zusätzlich über die Registry beeinflusst werden.

Falls du willst, dass NXDOMAINS nicht oder nur kurz gecached werden, kannst du den TTL-Wert anpassen. Registry-Wert (auf dem DNS-Server) in Sekunden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

  • MaxNegativeCacheTtl: max. Zeit negative Antworten gecachet werden 
  • MaxCacheTtl: generelle Cache-Zeit für positive Antworten

Wert 0 = deaktiviert Negative Caching komplett. Falls BIND vor dem Hinzufügen des Eintrags SERVFAIL statt NXDOMAIN liefern würde, würde Windows nicht negativ cachen. Wenn du also temporäre DNS-Auflösung willst, wäre SERVFAIL statt NXDOMAIN sinnvoller. Das ist aber eher unüblich und unsauber.

von (8 Punkte)  
Wenn ich also die Minimum TTL auf dem Bind Server auf z.B 5 setze dann wird nur für 5 Sekunden gecacht? Dann sollte der Windows DC also nach 5 Sekunden wieder beim Bind nachfragen oder?
von (65 Punkte)  
Das wäre eine mögliche Lösung. Oder du setzt die Zeit mit dem Registry Eintrag auf dem DC herunter.
von (8 Punkte)  
Windows Domain Controller zeigt gelöschte Einträge von einem Conditional Forwarder
Gefragt von (65 Punkte)  

Ähnliche Fragen

Diese Community basiert auf dem Prinzip der Selbstregulierung. Beiträge werden von Nutzern erstellt, bewertet und verbessert – ganz ohne zentrale Moderation.

Wer hilfreiche Fragen stellt oder gute Antworten gibt, sammelt Punkte. Mit steigender Punktzahl erhalten Mitglieder automatisch mehr Rechte, zum Beispiel

  • Kommentare verfassen
  • Fragen und Antworten bewerten
  • Themen von Fragen bearbeiten
  • Fragen, Antworten und Kommentare bearbeiten
  • Inhalte ausblenden

So entsteht eine Plattform, auf der sich Qualität durchsetzt – getragen von einer engagierten Gemeinschaft.

2,470 Fragen

2,970 Antworten

280 Kommentare

13 Nutzer