DNS Format Error

[Frank73]

Hallo,

wende mich (mal wieder) an dieses Forum, da ich im Bereich "lokaler DNS" ein merkwürdiges Verhalten habe.

Ausgangslage:

• FritzBox, welche auf der LAN-Seite sowohl für IPv4 und IPv6 einen lokalen DNS (Syno) per DHCP verteilt
• Im DNS eine eigene Zonen-ID (domäne.tld) --> Nutzung aktuell dahingehend, dass die Namen der hosts ("drucker.domäne.tld") auf einen Reverse-Proxy zeigen um über den Browser "https" für die unterschiedlichen Web-GUIs nutzen zu können (daher zeigen alle Namen auf die IP der Syno) --> zusammen mit @blurrrr gelöst und auch verstanden.
• Im DNS einen Forwarder eingerichtet, welcher Namen ausserhalb der eigenen Zonen-ID auf die Fritzbox weiterleitet (Forwarder 1 und Forwarder 2 mit IPv4 auf die FB)

Dies funktioniert auch soweit alles.

Bei der Durchsicht des DNS-Protokolls auf der Syno werden tgl. folgende Hinweise mehrmals täglich aufgeführt, mit denen ich nichts anfangen kann:

• DNS format error from GUA der Fritzbox#53 resolving wpad.fritz.box/HTTPS for fe80::-Adresse Win-Rechner1#53568: Name fritz.box (SOA) not subdomain of zone wpad.fritz.box -- invalid response
• DNS format error from fd00::-Adresse der Fritzbox#53 resolving wpad.fritz.box/HTTPS for fe80::-Adresse Win-Rechner1#53568: Name fritz.box (SOA) not subdomain of zone wpad.fritz.box -- invalid response
• DNS format error from IPv4 der Fritzbox#53 resolving wpad.fritz.box/HTTPS for fe80::-Adresse Win-Rechner1#53568: Name fritz.box (SOA) not subdomain of zone wpad.fritz.box -- invalid response

Was ich bisher rausfinden konnte:
Ich habe 2 Windows-Rechner mit Win10 Pro (aktuellstes Update)

• Win-Rechner1 erhält per DHCP von der FB eine IP und für IPv4 und IPv6 jeweils den korrekten DNS (Syno)
• "net use x: \\IPv4_der_NAS\share /persistent:no" über den autostart als cmd eingebunden
• "Ipconfig /all" listet u. a. eine "DNS-Suffix: fritz.box" auf

• Win-Rechner2 hat eine statische IPv4-Adresse und einen manuell hinterlegten IPv4-DNS (Syno) und eine automatische IPv6-Adresse und einen manuell hinterlegten IPv6-DNS (Syno)
• "net use x: \\IPv4_der_NAS\share /persistent:no" über den autostart als cmd eingebunden
• "Ipconfig /all" listet keine DNS-Suffix aus.

Beide Rechner sind identisch bis auf die Vergabe der IP.

Bei Win-Rechner2 werden keine der o.g. Hinweise generiert, während bei Win-Rechner1 diese Hinweise bei jedem Hochfahren und dem Verbinden des Shares über die cmd erfolgt (die Uhrzeiten aus dem Anmeldeprotokoll der Syno und dem DNS-Protokoll (Syno) stimmen überein.

Was ich auch noch im Hinterkopf habe ist, dass gerade Windows das Problem wpad.fritz.box hat (hängt irgendwie mit dem Win-Proxy zusammen).

Kann mir jemand erklären, was diese Hinweise aussagen sollen und wie ich das evtl. beheben kann?
(Mich wundert das "HTTPS" in den Hinweisen, da ich ja nur einen mount ausführe)

Bin über jede Info dankbar.

Danke und Gruß

 

[Barungar]

Dein Forwarder leitet die Anfrage an die Fritz!Box weiter, aber die Fritz!Box hat keinen Eintrag für den Host wpad in der Domäne fritz.box - das ist schonmal die Erklärung für den Fehler.

Und das der eine Windows-Rechner es sendet und der andere Windows-Rechner nicht, könnte daran liegen, dass auf dem einen Rechner Proxy abgeschaltet ist und bei dem anderen Rechner auf Proxy-Automatik steht. Es könnte auch daran liegen, dass der zweite Rechner keine "Such-Suffixe" hat.

Genau dafür ist nämlich der "genormte" wpad.<domain>, der dient der automatischen Proxy-Konfiguration. Und das der Fehler mehrfach mit verschiedenen Adressen austaucht liegt auch daran, dass Windows-Rechner dazu neigen alle ihnen bekannte DNS-Server "gleichzeitig" zu fragen. *nixe neigen dazu eher nur den obersten DNS zu fragen, und wenn der nicht (schnell) antwortet den zweiten DNS.

Hier kannst Du noch was mehr zu wpad lesen: https://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

 

[Frank73]

dass auf dem einen Rechner Proxy abgeschaltet ist und bei dem anderen Rechner auf Proxy-Automatik steht.

das werde ich heute Abend nochmals nachsehen

zweite Rechner keine "Such-Suffixe" hat.

die hat der 2.Rechner er auch nicht. Lt. "ipconfig /all" ist sowohl das "DNS-Suffix" als auch die "DNS Suchliste" leer.

Fragen:

1. Woher bekommt er denn diese "DNS-Suffix", bzw. "DNS Suchliste" und kann ich die irgendwie löschen (in den Systemeinstellungen habe ich keine Einträge bzgl. "fritz.box" gefunden)?
2. Sollte die Proxy-Automatik aktiviert sein, spricht doch nichts dagegen, diesen auf den Win-Rechner zu deaktivieren (sichereitstechnisch oder so)?
   (So wie ich das gelesen habe ist wpad nur bei Win standardmäßig aktiviert).
3. Warum erscheint dieser Fehler nur bei IPv6-Adressen?
4. Gibt es eine Heimnetzwerktechnisch "saubere" Lösung dieses Problem zu lösen?

Danke.

 

[Barungar]

1. Aus der Windows-Konfiguration der Netzwerk-Schnittstelle. Meist steht es dort auf "automatisch", in dem Fall wird es über den DHCP-Server mitversorgt.
2. Klar, kannst Du die deaktivieren. Im Privatumfeld nutzt das eh niemand. Ist aber eben häufig im "default" aktiviert.
3. Weil Dein Rechner eben nur mit IPv6 anfragt, daher gibt es auch nur Fehler mit IPv6. Wenn ein Rechner einen IPv4 DNS und einen IPv6 DNS kennt, dann ist er laut RFC gehalten eigentlich den IPv6 zu bevorzugen.
4. Was ist für Dich sauber?

 

[Frank73]

in dem Fall wird es über den DHCP-Server mitversorgt.

Bedeutet dise, dass bei den Rechnern, welche DHCP versorgt werden immer diese "DNS-Felder" befüllt sind?

Was ist für Dich sauber?

Sorry!

"Sauber" wäre für mich, dass es so administriert werden kann (über Einträge im DNS, oder Deaktivierung Proxy-Automatik [werde ich heute Abend testen]), dass diese Hinweise nicht mehr auftreten.
Was wäre denn der Worst-Case (sofern es einen gibt), wenn diese Meldungen weiterhin auftreten?

 

[blurrrr]

"Sauber" wäre für mich, dass es so administriert werden kann (über Einträge im DNS, oder Deaktivierung Proxy-Automatik [werde ich heute Abend testen]), dass diese Hinweise nicht mehr auftreten.

Schon mal in den Windows-Einstellungen nach "Proxy" gesucht?

 

[Barungar]

Bedeutet dise, dass bei den Rechnern, welche DHCP versorgt werden immer diese "DNS-Felder" befüllt sind?

Ja, tut es. Dieses Feld wird von der FritzBox in der DHCP-Nachricht übermittelt. Das ist DHCP-Option 15...
Das macht ja auch grundsätzlich Sinn, wenn das Suffix der lokalen Domäne dem Host bekannt ist.
Du kannst es aber auch in den Netzwerk-Einstellungen ändern, in dem Du die Suffixe statisch konfigurierst.
Im Standard ist es halt auf "Automatik".

"Sauber" wäre für mich, dass es so administriert werden kann (über Einträge im DNS, oder Deaktivierung Proxy-Automatik [werde ich heute Abend testen]), dass diese Hinweise nicht mehr auftreten.

Das geht ja auch. Es hindert Dich doch niemand daran in Deinem LAN eine "Web Proxy Autodiscovery" zu implementieren.
Alternativ kannst Du in Deinen Rechnern auch abschalten, dass die WPAD nutzen sollen. WPAD ist halt eben nur Standard bei Windows, daher tun sie es auch.

 

[Frank73]

Hab die Einstellung "Proxy" deaktiviert.

Aktuell werden keine Meldungen "DNS format error" mehr von den Win-Clients verursacht.

Danke euch beiden (auch für den technischen Input).

 

[Frank73]

Hallo,

seit einigen Tagen habe ich erneut Logeinträge des DNS auf der Synoloyg mit dem Hinweise "DNS Format Error", welche ich mir nicht wirklich erklären kann.

"DNS format error from 2003:IPv6_der_Fritzbox#53 resolving 2003-IPv6_Android_Handy-fritz-box-fritz-box.fritz.box/A for fd_IPv6_Android_Handy#20625: Name fritz.box (SOA) not subdomain of zone 2003-_IPv6_Android_Handy-fritz-box-fritz-box.fritz.box -- invalid response"

Dies Meldung kommt immer nur von einem Handy. Die restlichen Android-Handys (teilweise gleiches Modell mit gleichem Softwarestand) produzieren diesen Hinweis nicht.

Kann mir jemand erklären was mir dieser Log-Eintrag sagen will?

Danke euch.

 

[the other]

Moinsen,
Da ich kein Experte bin rate ich mal fröhlich:
Vielleicht ein Konflikt zwischen der Vergabe / Abfrage zwischen der global unique adress (GUA, 2003:.....) und unique local adress (ULA, fd:....)?

 

[Frank73]

Hi,
hab mir das Protokoll nochmals genauer angesehen und festgestellt, dass immer 4 Einträge zusammengehören. Ich schreib sie der Vollständigkeit nochmals rein:

*************************************************************************************************************************************************************
"DNS format error from fd_IPv6_Fritzbox#53 resolving 2003-IPv6_Android-Handy-fritz-box-fritz-box.fritz.box/A for fd_IPv6_Android-Handy#10367: Name fritz.box (SOA) not subdomain of zone 2003-IPv6_Android-Handy-fritz-box-fritz-box.fritz.box -- invalid response"

"DNS format error from 2003:IPv6_Fritzbox#53 resolving 2003-IPv6_Android-Handy-fritz-box-fritz-box.fritz.box/A for fd_IPv6_Android-Handy#10367: Name fritz.box (SOA) not subdomain of zone 2003-IPv6_Android-Handy-fritz-box-fritz-box.fritz.box -- invalid response"

"DNS format error from IPv4_Fritzbox#53 resolving 2003-IPv6_Android-Handy-fritz-box-fritz-box.fritz.box/A for fd_IPv6_Android-Handy#10367: Name fritz.box (SOA) not subdomain of zone 2003-IPv6_Android-Handy-fritz-box-fritz-box.fritz.box -- invalid response"

"DNS format error from IPv4_Fritzbox#53 resolving 2003-IPv6_Android-Handy-fritz-box-fritz-box.fritz.box/A for d_IPv6_Android-Handy#10367: Name fritz.box (SOA) not subdomain of zone 2003-IPv6_Android-Handy-fritz-box-fritz-box.fritz.box -- invalid response"
*************************************************************************************************************************************************************

Und das innerhalb 1 Sekunde.

Vielleicht ein Konflikt zwischen der Vergabe / Abfrage zwischen der global unique adress (GUA, 2003:.....) und unique local adress (ULA, fd:....)?

Wie kann ich sowas verhindern? Es kommt immer nur bei dem gleichen Handy vor.

Kann es an der folgenden Administration für IPv6 in der Fritzbox liegen, dass einerseits die Endgeräte eine IPv6 generieren und die FB per DHCP nochmals eine IPv6 vergibt (siehe Screenshot)?



Wie habt ihr die Einstellungen an dieser Stelle für IPv6?

 

[rednag]

Dazu kann ich leider nichts beitragen, weil IPv6 bei mir (noch) kein Thema ist.
Du kannst durch probieren der Optionen nichts kaputt machen. Also so vermute ich das zumindest.