DNS-Probleme bei VPN-Verbindungen beheben


    Tags: , , ,

    Virtual Private Network (VPN)Manchmal lassen sich keine Server-Namen im Netzwerk auflösen, mit dem ein VPN verbunden ist, oder im eigenen Netzwerk funktioniert die Auflösung nicht korrekt. Das ist vor allem bei Active Directory-Netzwerken problematisch, weil die Clients dann keine Domänen-Controller zur An­meldung oder für Gruppen­richtlinien erreichen können.

    Die DNS-Probleme treten typischerweise bei Split Tunneling auf, wo nur der Traffic zum Firmennetz über das VPN läuft, während Benutzer auf Ressourcen im Internet direkt zugreifen können. Konsultiert Windows dann einen öffentlichen DNS-Server, dann kann dieser die Namen der firmen­internen Server nicht auflösen.

    Interface-Metriken ändern

    Um in Windows zu steuern, welche DNS-Server es nach der Einwahl per VPN bevorzugt verwenden soll, kann man der VPN-Schnittstelle eine höhere Priorität und damit niedrigere Metrik zuweisen.

    Das geht unproblematisch auf dem Client über die Einstellungen der Netzwerkadapter (ncpa.cpl).

    Netzwerkverbindungen zur Verwaltung von Interface-Metriken in der Systemsteuerung anzeigen

    Über das Kontextmenü der VPN-Netzwerkverbindung rufen Sie Eigenschaften auf. Klicken Sie danach doppelt auf Internetprotokoll, Version 4, so dass sich auch hier die Eigenschaften öffnen.

    Aufrufen der IPv4-Eigenschaften einer VPN-Verbindung

    Durch einen Klick auf Erweitert können Sie bei Schnittstellenmetrik einen Wert eingeben. Er definiert die "Kosten" einer Verbindung. Je höher diese sind, also je größer der Wert an dieser Stelle ist, desto weiter hinten in der Reihenfolge landet eine Schnittstelle.

    Soll die Namens­auflösung über das VPN-Netzwerk erfolgen, dann sollten die Kosten dafür so niedrig wie möglich sein.

    Konfigurieren der Schnittstellenmetrik in Windows

    Hier sollte mithin für die VPN-Schnittstelle nicht Automatische Metrik aktiviert sein. Vielmehr trägt man dafür einen möglichst geringen Wert ein, zum Beispiel 1 bis 5. Nach einer erneuten Einwahl sollte das Problem mit der Namens­auflösung im VPN-Netzwerk gelöst sein.

    Viele VPN-Clients stellen diese Option bereits automatisch ein, aber längst nicht alle. Bei Automatische Metrik entscheidet Windows selbst, welche Einträge verwendet werden, wenn mehrere Netzwerk­verbindungen zum gleichen Ziel führen.

    Änderungen an der Metrik sind normalerweise sofort wirksam, andernfalls beenden Sie die VPN-Verbindung und bauen diese erneut auf. Testen Sie danach die Namensauflösung und überprüfen Sie die Schnittstellen­metriken mit PowerShell und Befehlszeile.

    Schnittstellenmetriken mit PowerShell steuern

    Die Interface Metrics der verschiedenen Netzwerk­verbindungen lassen sich in PowerShell sortiert anzeigen, indem Sie folgenden Befehl verwenden:

    Get-NetIPInterface | Sort-Object Interfacemetric

    Die verschiedenen Metriken für Netzwerkadapter lassen sich mit PowerShell anzeigen

    PowerShell zeigt für alle Schnittstellen die Metriken übersichtlicher und vor allem auf einmal an. Außerdem kommt es vor, dass die Metriken auf der grafischen Oberfläche nicht korrekt übernommen werden, so dass man sie auf diesem Weg überprüfen kann.

    Die Metriken lassen sich alternativ mit dem Dienstprogramm netsh.exe anzeigen:

    netsh int ip show interfaces

    Die Schnittstellenmetrik ist in der Spalte Met zu sehen.

    Metriken mit PowerShell anpassen

    Die Schnittstellenmetrik eines Interface kann man mit dem folgenden Befehl ändern:

    Set-NetIPInterface -InterfaceIndex <Wert bei ifIndex> `
    -InterfaceMetric <Gewünschte Metrik>

    Die Identifizierung des Netzwerkadapters erfolgt über den Parameter -InterfaceIndex, den man bei der Abfrage mit dem Cmdlet Get-NetIPInterface in der Spalte ifIndex erhält.

    Anschließend können Sie festlegen, ob Sie einem Adapter mit dem Parameter -InterfaceMetric einen höheren Wert zuweisen und damit eine niedrigere Priorität, oder einen niedrigen Wert und damit eine höhere Priorität.

    Smart Multi-Homed Name Resolution deaktivieren

    Smart Multi-Homed Name Resolution (SMHNR) ist eine Funktion in Windows 10 und 11, die DNS-Anfragen an mehrere DNS-Server gleichzeitig sendet, um die Namensauflösung zu beschleunigen. Der Server, der zuerst antwortet, liefert die benötigte IP-Adresse.

    Neuere Versionen von Windows 10 sowie Windows 11 verbessern dieses Feature und kontaktieren die DNS-Server nicht mehr gleichzeitig, sondern nacheinander, und zwar in der Reihenfolge, die durch die Schnittstellen­metriken vorgegeben ist.

    SMHNR sollte daher keinen großen Einfluss mehr haben, wenn ein falscher DNS-Server zum Zug kommt. Es hat aber einen anderen, meist unerwünschten Nebeneffekt, indem es die Anfragen zur internen Namens­auflösung an externe DNS-Server schickt ("DNS Leakage"). Deren Betreiber können sich dadurch ein sehr genaues Bild davon machen, über welche IT-Ressourcen ein Unternehmen verfügt.

    Daher empfiehlt es sich, auf Clients, die sich via VPN verbinden, SMHNR über Gruppenrichtlinien zu deaktivieren.

    Die betreffende Einstellung heißt Multicastnamensauflösung deaktivieren ("Turn off smart multi-homed name resolution") und findet sich unter Computer Configuration => Administrative Templates => Network > DNS Client.

    Ausschalten der Smart Multi-Homed Name Resolution

    Aufgrund eines seit Jahren existierenden Übersetzungs­fehlers gibt es an dieser Stelle zwei Einträge mit der gleichen Bezeichnung. Die richtige Einstellung ist jene, deren Beschreibung so beginnt: "Legt fest, dass ein mehrfach vernetzter DNS-Client die Namensauflösung netzwerkübergreifend optimiert."

    Zusammenfassung

    Bei einem Split-Tunnel-VPN kommt es häufig zu Problemen bei der Namensauflösung, wenn Windows aufgrund der automatisch konfigurierten Interface-Metriken den falschen DNS-Server konsultiert. In diesem Fall kann man das VPN-Interface manuell priorisieren, so dass der interne DNS-Server zum Zug kommt.

    Smart Multi-Homed Name Resolution führt eine DNS-Anfrage über alle Schnittstellen aus, was aber keinen Einfluss auf die korrekte Namens­auflösung haben dürfte. Allerdings legt es interne Ressourcen gegenüber externen DNS-Servern offen, so dass man dieses Feature über die entsprechende Gruppenrichtlinie deaktivieren sollte.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Joos

    Thomas Joos ist Consultant für mittlere und große Unternehmen im Bereich Security, Active Directory, Cloud und KI.

    Er hat über 100 Fachbücher zu IT-Themen für verschiedene Verlage geschrieben und veröffentlicht regelmäßig bei verschiedenen Portalen und Zeitschriften wie IT-Administrator, Computerwoche, Heise und vielen weiteren.

    Darüber hinaus ist er als Trainer für LinkedIn Learning tätig.

    // Kontakt: Web, E-Mail, Twitter //

    Ähnliche Beiträge

    Weitere Links