Windows Server 条件转发器在其中一个域控制器上不起作用

Windows Server 条件转发器在其中一个域控制器上不起作用

简而言之,问题在于我们的网络中的工作站无法解析一些域名,但从服务器上的远程桌面会话执行此操作却成功。

现在说细节。

我们在路由器后面有一个 Windows 域网络。内部地址来自 192.168.1.x 范围。有一个到客户站点的隧道,其中地址来自 10.xxx 范围。这在很长一段时间内都正常工作。
客户定义了一些域名,指向其内部网络中的服务器。它们不是公开可见的,因此为了访问它们,我在我们的域控制器 (192.168.1.1,Windows Server 2008 R2) 上添加了条件转发器,但其中一些有时由公共名称服务器解析。我不知道配置,但客户的网络管理员声称我们应该直接查询他们的名称服务器,因此需要条件转发器。这在很长一段时间内都没有问题。

我需要将域控制器升级到 Windows Server 2016。为此,我添加了一个辅助域(192.168.1.7,Windows Server 2012 R2)。AD(包括条件转发器)已复制到此新服务器。此时我们没有遇到任何问题。有些工作站的主 DNS 设置为主 DC(192.168.1.1),而其他工作站的主 DNS 设置为辅助 DC(192.168.1.7)。客户端的域在所有工作站上都​​已成功解析。

然后我在主服务器 (192.168.1.1) 上安装了 Windows Server 2016,并将其提升为主 DC。AD 已复制,并且条件转发器已到位。但是,当工作站尝试解析客户端的域时,如果其 DNS 是辅助 DC (192.168.1.7),则它会成功,但如果它是主 DC (192.168.1.1),则会失败。有趣的是,DNS 查询是在服务器本身上解析的(在与它的远程桌面会话中)。否则,DNS 看起来可以正常工作,因为其他域名没有问题(互联网访问正常工作了几周)。客户端的网络配置如下:

  • IP 地址:192.168.1.x
  • 掩码:255.255.255.0
  • GW:192.168.1.10(路由器的 IP)
  • 主 DNS:192.168.1.1 或 192.168.1.7(主 DC 和辅助 DC)
  • 辅助 DNS:空

两个域控制器上的 DNS 配置方式相同(至少我发现没有明显差异):

  • 监听所有 IP 地址
  • 转发器相同,顺序相同,如下所示 - Google 公共 DNS(8.8.8.8)、主路由器 IP(192.168.1.10)、备用线路路由器(192.168.1.11)
  • 两台服务器上的根提示相同(默认)
  • DNS 属性对话框中的默认选项相同(递归未被禁用)
  • DNS 属性对话框中的安全选项相同
  • 两个域控制器上的条件转发器列表相同(它们会自动复制,我没有在每台服务器上分别重新输入它们)

此时,我能够在两台服务器上解析客户的域名。如果我尝试在工作站上 ping 此域名,如果它的主 DNS 是 192.168.1.7,则它会成功,但如果它是 192.168.1.1,则会失败。

我可以在工作站上 ping 通互联网域,无论它的主 DNS 是什么(192.168.1.1 和 192.168.1.7 均可正常工作)。

当使用 nslookup 连接服务器时,如果服务器是 192.168.1.1,则会出现“DNS 请求超时”的错误,但如果服务器是 192.168.1.7 或客户端的名称服务器 (10.xxx),则无论 DNS 设置为什么(192.168.1.1 或 192.168.1.7),nslookup 都会成功。我在 ping 客户端域时在工作站上使用 Nir ​​Sofer 的 DNSQuerySniffer。当 DNS 为 192.168.1.1 时,我看到 5 个请求 - 4 个没有响应,第 5 个返回“服务器故障”,所有请求都来自工作站的 IP,并以 192.168.1.1 作为目标地址。当工作站的 DNS 设置为 192.168.1.7 时,我只看到一个请求,该请求成功了。但是,当我在服务器上运行它时,在 192.168.1.1 上,我看到了发送到我的路由器的 DNS 请求,而它应该是发送到客户端的名称服务器的,即条件转发器不起作用并且这个域名是由公共 DNS 解析的(公共 DNS 可能会也可能不会解析这个域名,但为了遵循客户的指示,我必须直接查询他们的名称服务器)。在 192.168.1.7 上,我看到一个对其名称服务器 IP(10.xxx)的请求,即条件转发有效

我觉得自己太愚蠢了!显然我忽略了一些东西。你认为我应该检查什么?条件转发在此 DC 上不起作用的原因可能是什么?我将非常感激任何帮助!

先感谢您!

答案1

事实证明,一个 Hyper-V 虚拟网络适配器仍处于 DHCP 开启状态,并且它获得了一个默认网关,即我们的备用互联网提供商。它没有建立到客户站点的隧道,因此您无法使用此互联网连接访问他们的名称服务器,因此查询会回退到公共名称服务器,有时可以解析查询,有时则不能(但这是客户的问题)。我正确配置了此网络适配器的静态 IP 地址,并删除了备用网关。现在,所有 DNS 查询都通过主互联网路由,主互联网具有到客户站点(和名称服务器)的隧道,并且所有域名都已成功解析。

相关内容