Tags: Netzwerk, DNS, VPN, Troubleshooting
Manchmal lassen sich keine Server-Namen im Netzwerk auflösen, mit dem ein VPN verbunden ist, oder im eigenen Netzwerk funktioniert die Auflösung nicht korrekt. Das ist vor allem bei Active Directory-Netzwerken problematisch, weil die Clients dann keine Domänen-Controller zur Anmeldung oder für Gruppenrichtlinien erreichen können.
Die DNS-Probleme treten typischerweise bei Split Tunneling auf, wo nur der Traffic zum Firmennetz über das VPN läuft, während Benutzer auf Ressourcen im Internet direkt zugreifen können. Konsultiert Windows dann einen öffentlichen DNS-Server, dann kann dieser die Namen der firmeninternen Server nicht auflösen.
Interface-Metriken ändern
Um in Windows zu steuern, welche DNS-Server es nach der Einwahl per VPN bevorzugt verwenden soll, kann man der VPN-Schnittstelle eine höhere Priorität und damit niedrigere Metrik zuweisen.
Das geht unproblematisch auf dem Client über die Einstellungen der Netzwerkadapter (ncpa.cpl).
Über das Kontextmenü der VPN-Netzwerkverbindung rufen Sie Eigenschaften auf. Klicken Sie danach doppelt auf Internetprotokoll, Version 4, so dass sich auch hier die Eigenschaften öffnen.
Durch einen Klick auf Erweitert können Sie bei Schnittstellenmetrik einen Wert eingeben. Er definiert die "Kosten" einer Verbindung. Je höher diese sind, also je größer der Wert an dieser Stelle ist, desto weiter hinten in der Reihenfolge landet eine Schnittstelle.
Soll die Namensauflösung über das VPN-Netzwerk erfolgen, dann sollten die Kosten dafür so niedrig wie möglich sein.
Hier sollte mithin für die VPN-Schnittstelle nicht Automatische Metrik aktiviert sein. Vielmehr trägt man dafür einen möglichst geringen Wert ein, zum Beispiel 1 bis 5. Nach einer erneuten Einwahl sollte das Problem mit der Namensauflösung im VPN-Netzwerk gelöst sein.
Viele VPN-Clients stellen diese Option bereits automatisch ein, aber längst nicht alle. Bei Automatische Metrik entscheidet Windows selbst, welche Einträge verwendet werden, wenn mehrere Netzwerkverbindungen zum gleichen Ziel führen.
Änderungen an der Metrik sind normalerweise sofort wirksam, andernfalls beenden Sie die VPN-Verbindung und bauen diese erneut auf. Testen Sie danach die Namensauflösung und überprüfen Sie die Schnittstellenmetriken mit PowerShell und Befehlszeile.
Schnittstellenmetriken mit PowerShell steuern
Die Interface Metrics der verschiedenen Netzwerkverbindungen lassen sich in PowerShell sortiert anzeigen, indem Sie folgenden Befehl verwenden:
Get-NetIPInterface | Sort-Object Interfacemetric
PowerShell zeigt für alle Schnittstellen die Metriken übersichtlicher und vor allem auf einmal an. Außerdem kommt es vor, dass die Metriken auf der grafischen Oberfläche nicht korrekt übernommen werden, so dass man sie auf diesem Weg überprüfen kann.
Die Metriken lassen sich alternativ mit dem Dienstprogramm netsh.exe anzeigen:
netsh int ip show interfaces
Die Schnittstellenmetrik ist in der Spalte Met zu sehen.
Metriken mit PowerShell anpassen
Die Schnittstellenmetrik eines Interface kann man mit dem folgenden Befehl ändern:
Set-NetIPInterface -InterfaceIndex <Wert bei ifIndex> `
-InterfaceMetric <Gewünschte Metrik>
Die Identifizierung des Netzwerkadapters erfolgt über den Parameter -InterfaceIndex, den man bei der Abfrage mit dem Cmdlet Get-NetIPInterface in der Spalte ifIndex erhält.
Anschließend können Sie festlegen, ob Sie einem Adapter mit dem Parameter -InterfaceMetric einen höheren Wert zuweisen und damit eine niedrigere Priorität, oder einen niedrigen Wert und damit eine höhere Priorität.
Smart Multi-Homed Name Resolution deaktivieren
Smart Multi-Homed Name Resolution (SMHNR) ist eine Funktion in Windows 10 und 11, die DNS-Anfragen an mehrere DNS-Server gleichzeitig sendet, um die Namensauflösung zu beschleunigen. Der Server, der zuerst antwortet, liefert die benötigte IP-Adresse.
Neuere Versionen von Windows 10 sowie Windows 11 verbessern dieses Feature und kontaktieren die DNS-Server nicht mehr gleichzeitig, sondern nacheinander, und zwar in der Reihenfolge, die durch die Schnittstellenmetriken vorgegeben ist.
SMHNR sollte daher keinen großen Einfluss mehr haben, wenn ein falscher DNS-Server zum Zug kommt. Es hat aber einen anderen, meist unerwünschten Nebeneffekt, indem es die Anfragen zur internen Namensauflösung an externe DNS-Server schickt ("DNS Leakage"). Deren Betreiber können sich dadurch ein sehr genaues Bild davon machen, über welche IT-Ressourcen ein Unternehmen verfügt.
Daher empfiehlt es sich, auf Clients, die sich via VPN verbinden, SMHNR über Gruppenrichtlinien zu deaktivieren.
Die betreffende Einstellung heißt Multicastnamensauflösung deaktivieren ("Turn off smart multi-homed name resolution") und findet sich unter Computer Configuration => Administrative Templates => Network > DNS Client.
Aufgrund eines seit Jahren existierenden Übersetzungsfehlers gibt es an dieser Stelle zwei Einträge mit der gleichen Bezeichnung. Die richtige Einstellung ist jene, deren Beschreibung so beginnt: "Legt fest, dass ein mehrfach vernetzter DNS-Client die Namensauflösung netzwerkübergreifend optimiert."
Zusammenfassung
Bei einem Split-Tunnel-VPN kommt es häufig zu Problemen bei der Namensauflösung, wenn Windows aufgrund der automatisch konfigurierten Interface-Metriken den falschen DNS-Server konsultiert. In diesem Fall kann man das VPN-Interface manuell priorisieren, so dass der interne DNS-Server zum Zug kommt.
Smart Multi-Homed Name Resolution führt eine DNS-Anfrage über alle Schnittstellen aus, was aber keinen Einfluss auf die korrekte Namensauflösung haben dürfte. Allerdings legt es interne Ressourcen gegenüber externen DNS-Servern offen, so dass man dieses Feature über die entsprechende Gruppenrichtlinie deaktivieren sollte.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Joos ist Consultant für mittlere und große Unternehmen im Bereich Security, Active Directory, Cloud und KI.
Er hat über 100 Fachbücher zu IT-Themen für verschiedene Verlage geschrieben und veröffentlicht regelmäßig bei verschiedenen Portalen und Zeitschriften wie IT-Administrator, Computerwoche, Heise und vielen weiteren.
Darüber hinaus ist er als Trainer für LinkedIn Learning tätig.
Ähnliche Beiträge
- Lösung für: Es kann keine Verbindung mit einer Domäne oder zum Domain Controller hergestellt werden
- Troubleshooting: Keine Netzwerk-Verbindung in VMware Workstation
- IP-Adresse und DNS-Server mit PowerShell ändern
- Resolve-DnsName: nslookup für PowerShell
- Microsoft mustert NetBIOS zugunsten von mDNS aus
Weitere Links