Windows Server 条件转发器在其中一个域控制器上不起作用

简而言之，问题在于我们的网络中的工作站无法解析一些域名，但从服务器上的远程桌面会话执行此操作却成功。

现在说细节。

我们在路由器后面有一个 Windows 域网络。内部地址来自 192.168.1.x 范围。有一个到客户站点的隧道，其中地址来自 10.xxx 范围。这在很长一段时间内都正常工作。
客户定义了一些域名，指向其内部网络中的服务器。它们不是公开可见的，因此为了访问它们，我在我们的域控制器 (192.168.1.1，Windows Server 2008 R2) 上添加了条件转发器，但其中一些有时由公共名称服务器解析。我不知道配置，但客户的网络管理员声称我们应该直接查询他们的名称服务器，因此需要条件转发器。这在很长一段时间内都没有问题。

我需要将域控制器升级到 Windows Server 2016。为此，我添加了一个辅助域（192.168.1.7，Windows Server 2012 R2）。AD（包括条件转发器）已复制到此新服务器。此时我们没有遇到任何问题。有些工作站的主 DNS 设置为主 DC（192.168.1.1），而其他工作站的主 DNS 设置为辅助 DC（192.168.1.7）。客户端的域在所有工作站上都​​已成功解析。

然后我在主服务器 (192.168.1.1) 上安装了 Windows Server 2016，并将其提升为主 DC。AD 已复制，并且条件转发器已到位。但是，当工作站尝试解析客户端的域时，如果其 DNS 是辅助 DC (192.168.1.7)，则它会成功，但如果它是主 DC (192.168.1.1)，则会失败。有趣的是，DNS 查询是在服务器本身上解析的（在与它的远程桌面会话中）。否则，DNS 看起来可以正常工作，因为其他域名没有问题（互联网访问正常工作了几周）。客户端的网络配置如下：

• IP 地址：192.168.1.x
• 掩码：255.255.255.0
• GW：192.168.1.10（路由器的 IP）
• 主 DNS：192.168.1.1 或 192.168.1.7（主 DC 和辅助 DC）
• 辅助 DNS：空

两个域控制器上的 DNS 配置方式相同（至少我发现没有明显差异）：

• 监听所有 IP 地址
• 转发器相同，顺序相同，如下所示 - Google 公共 DNS（8.8.8.8）、主路由器 IP（192.168.1.10）、备用线路路由器（192.168.1.11）
• 两台服务器上的根提示相同（默认）
• DNS 属性对话框中的默认选项相同（递归未被禁用）
• DNS 属性对话框中的安全选项相同
• 两个域控制器上的条件转发器列表相同（它们会自动复制，我没有在每台服务器上分别重新输入它们）

此时，我能够在两台服务器上解析客户的域名。如果我尝试在工作站上 ping 此域名，如果它的主 DNS 是 192.168.1.7，则它会成功，但如果它是 192.168.1.1，则会失败。

我可以在工作站上 ping 通互联网域，无论它的主 DNS 是什么（192.168.1.1 和 192.168.1.7 均可正常工作）。

当使用 nslookup 连接服务器时，如果服务器是 192.168.1.1，则会出现“DNS 请求超时”的错误，但如果服务器是 192.168.1.7 或客户端的名称服务器 (10.xxx)，则无论 DNS 设置为什么（192.168.1.1 或 192.168.1.7），nslookup 都会成功。我在 ping 客户端域时在工作站上使用 Nir ​​Sofer 的 DNSQuerySniffer。当 DNS 为 192.168.1.1 时，我看到 5 个请求 - 4 个没有响应，第 5 个返回“服务器故障”，所有请求都来自工作站的 IP，并以 192.168.1.1 作为目标地址。当工作站的 DNS 设置为 192.168.1.7 时，我只看到一个请求，该请求成功了。但是，当我在服务器上运行它时，在 192.168.1.1 上，我看到了发送到我的路由器的 DNS 请求，而它应该是发送到客户端的名称服务器的，即条件转发器不起作用并且这个域名是由公共 DNS 解析的（公共 DNS 可能会也可能不会解析这个域名，但为了遵循客户的指示，我必须直接查询他们的名称服务器）。在 192.168.1.7 上，我看到一个对其名称服务器 IP（10.xxx）的请求，即条件转发有效。

我觉得自己太愚蠢了！显然我忽略了一些东西。你认为我应该检查什么？条件转发在此 DC 上不起作用的原因可能是什么？我将非常感激任何帮助！

先感谢您！