Fehler beim Auflösen von DNS-Einträgen im Browser; nslookup funktioniert aber

Posted by on

Wenn alle Browser auf dem Client Fehlermeldungen bringen, daß der DNS nicht aufgelöst werden kann, es aber per nslookup die Anfrage funktioniert, kann das an einer falschen Uhrzeit auf dem DNS-Server/-Proxy liegen.

Am DNS-Server können auch folgende Fehlermeldungen auftauchen:

Sep 16 07:41:42 raspberrypi named[3538]: no valid RRSIG resolving 'mozilla.org/DS/IN': 2001:500:e::1#53
Sep 16 07:41:42 raspberrypi named[3538]: validating gdtpongmpok61u9lvnipqor8lra9l4t0.org/NSEC3: verify failed due to bad signature (keyid=35418): RRSIG validity period has not begun
Sep 16 07:41:42 raspberrypi named[3538]: validating gdtpongmpok61u9lvnipqor8lra9l4t0.org/NSEC3: no valid signature found
Sep 16 07:41:42 raspberrypi named[3538]: validating org/SOA: verify failed due to bad signature (keyid=35418): RRSIG validity period has not begun
Sep 16 07:41:42 raspberrypi named[3538]: validating org/SOA: no valid signature found

Ein TCPDump von nslookup sieht erfolgreich aus:

07:36:08.271092 IP 192.168.3.31.54018 > 192.168.3.1.53: 1+ PTR? 1.3.168.192.in-addr.arpa. (42)
07:36:08.272283 IP 192.168.3.1.53 > 192.168.3.31.54018: 1 NXDomain* 0/1/0 (97)
07:36:08.273270 IP 192.168.3.31.54019 > 192.168.3.1.53: 2+ A? tagesschau.de. (31)
07:36:08.274217 IP 192.168.3.1.53 > 192.168.3.31.54019: 2 1/4/0 A 34.110.152.241 (168)
07:36:08.276924 IP 192.168.3.31.54020 > 192.168.3.1.53: 3+ AAAA? tagesschau.de. (31)
07:36:08.277975 IP 192.168.3.1.53 > 192.168.3.31.54020: 3 1/4/0 AAAA 2600:1901:0:1b60:: (180)

Ein TCPDump vom Browser sieht dann aber anders aus:

07:37:14.452170 IP 192.168.3.1.53 > 192.168.3.31.64841: 12530 ServFail 0/0/0 (49)
07:37:14.745237 IP 192.168.3.31.64841 > 192.168.3.1.53: 49876+ A? www.tagesschau.de. (35)
07:37:14.786750 IP 192.168.3.1.53 > 192.168.3.31.64841: 49876 ServFail 0/0/0 (35)

Fehler war, daß die Uhrzeit des Betriebssystems sehr weit (ca. 3 Stunden) hinter der realen Uhrzeit eingestellt war.

Die Tatsache, daß ein NTP-Dienst auf dem DNS-Server/-Proxy lief, half der Sache nichts.

Nachdem die Uhrzeit korrigiert war und der DNS-Server neu gestartet wurde, lief alles wieder ganz normal

VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA

*