Host not found – Connection Timeout
Sicherlich ist Ihnen eine solche Fehlermeldung schon einmal begegnet – ärgerlich, vor allem, wenn es sich um eine bekannte Webseite handelt bei der sonst keine Probleme auftreten. Wie kommt es zu dieser Fehlermeldung und was können Sie dagegen tun?
Der Fehler kann an vielen Stellen liegen, beim Server selbst, bei dem anfragenden Gerät, an der Netzwerkhardware, an der Internetverbindung oder am DNS. Auch unseren Kunden ist dieser Fehler bekannt, um ihm Herr zu werden, ist es zunächst interessant einmal allgemein zu betrachten, wie sich DNS auf der Sophos UTM konfigurieren lässt.
Ein Connection Timeout bezeichnet den Zustand, dass ein Server zu lange braucht, um auf eine Datenanforderung von einem anderen Gerät zu antworten. Timeouts sind jedoch keine Antwortnachrichten: sie werden angezeigt, wenn keine Antwort vorhanden ist und die Serveranforderung nicht in einer vorgegebenen Zeitspanne erfüllt wurde.
Hierbei gibt es zwei verschiedene Ansätze:
Variante 1 – UTM als interner DNS Server
Bei der ersten Möglichkeit dient die UTM als DNS Server für das komplette interne Netz und leitet Anfragen an die Domaincontroller weiter. Die Clients stellen ihre Anfragen also direkt an die UTM, weshalb die Advanced Threat Protection (ATP) genau feststellen kann, woher die Anfrage kam. Die UTM kann somit automatisch interne Namen auflösen. Allerdings gilt es zu beachten, dass die UTM einer höheren Belastung ausgesetzt ist, da sie nun auch für alle internen Anfragen angesprochen wird.
Variante 2 – Wenn der Domaincontroller Alerts auslöst
Die zweite Variante erfordert einen geringeren Konfigurationsaufwand und belastet die UTM weniger. Denn in diesem Fall stellt der Domaincontroller die Anfrage an die UTM. Dabei können auf der UTM ATP Alerts entstehen, die die Adresse des Domaincontrollers enthalten. Jetzt aber keine Panik! Da die UTM bei dieser Möglichkeit nicht mehr nachvollziehen kann, von welchem Client die Anfrage kam, wird der Domaincontroller als potentielle Gefahr gemeldet.
Eine Threat Analyse erfordert in diesem Fall also das Logging auf dem Domaincontroller, was sie aufwändiger macht. Um interene Domains aufzulösen ist eine DNS Anfrageroute, und somit weitere Konfiguration nötig.
Wie Sie den Grafiken entnehmen können, haben beide Möglichkeiten Vor- und Nachteile, die Sie individuell nach Ihren Bedürfnissen abwiegen müssen:
+ interne Domains werden automatisch aufgelöst
– höherer DNS Traffic auf UTM
– meist Client Anpassung (DNS Einstellungen) nötig
+ ressourcenschonender
– Threat Analyse aufwendiger
– weitere Konfiguration für interne Domains nötig
Wie geht man mit Gastnetzen um?
In beiden Fällen ist es wichtig, auch den Umgang mit Gastnetzen zu betrachten. Agiert die UTM, auch für Gastnetze als DNS oder Webproxy, können diese möglicherweise auch interne Adressen abrufen. Es empfiehlt sich hier separate (z.B. externe) DNS Server zu verwenden.
Host not found
Doch wie löst man nun die anfangs genannte Fehlermeldung auf? Tritt der Fehler häufiger auf – auffällig im Webproxy oder SMTP Proxy – kann dies am DNS liegen. Es können Probleme oder Verzögerungen zu den DNS Servern des Providers vorliegen. Einfache Abhilfe schafft die Verwendung der Google DNS Server (8.8.8.8, 8.8.4.4) als Alternative. Dabei sollte jedoch sichergestellt werden, dass die providerspezifischen DNS Server nicht in der Forward Liste stehen.
Unsere Erfahrung zeigt, dass der Timeout auch auf bekannten Webseiten als gelegentliches Problem auftreten kann. Eine Anpassung der DNS Konfiguration kann das Problem beheben.
Noch Fragen?
Gerne helfen wir Ihnen zu allen Fragen rund um die DNS Konfiguration auf der Sophos UTM weiter: