间歇性 DNS 解析问题

在约 140 台 PC 中，有几台 PC（没有确定的模式）在启动期间始终无法解析 AD DS 域名，并且在启动后间歇性无法解析 AD DS DNS 名称。可以通过重新启动 Windows 服务DNS Client/dnscache和/或重新启动 PC 直到其恢复正常来暂时解决此问题。

我的诊断进展：

1. 一旦解决方案到位，两个域控制器都可以联系（通过多种方式验证）并且组策略确实适用，但某些策略需要重新启动，因此出现了这个问题。
2. NIC 的 DNS 配置（服务器等）正确。
3. 命令nltest /DSQUERYDNS输出I_NetLogonControl failed: Status = 50 0x32 ERROR_NOT_SUPPORTED。
4. 命令Test-ComputerSecureChannel输出True。
5. 将网络设备Realtek PCIe GBE Family Controller的设备驱动程序从版本 7.86.508.2014 / 2014/05/08 更新至版本 7.107.323.2017 / 2017/03/23 没有任何区别。
6. \\<%logonServer%>\NETLOGON\是可以访问的。
7. 启用本地政策Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for the network at computer startup and logon并没有什么区别。
8. 重启期间防火墙不会阻止任何流量。

据我所知，这种情况自站点迁移到新的、受限的 VLAN 网络后才开始发生，所以我不禁怀疑 Sophos XG 210 UTM，但这没有意义，因为它与防火墙/路由有关，那么我预计问题会更加一致和广泛。

 

更新 2017/07/07 16:26

我的诊断进展：

9. 将 Sophos XG 固件从版本 16.05.3 MR-3 更新至版本 16.05.5 MR-5 未能解决问题。
10. 创建网络防火墙规则以允许 LAN 到任意、PC 的 IP 地址到任意使用任何端口/服务都无法解决问题。
11. 禁用 NIC 上的 IPv6 并重新启动并不能解决问题。
12. 执行提升的命令netsh int ip reset reset.log并重新启动并不能解决问题。
13. 使用新生成的本地用户配置文件登录并不能解决问题。

 

更新 2017/07/12 11:23

在我使用的测试电脑上，问题已经发生了变化。启动后，ping AD 域名和任何服务器主机名均成功解析并传输但RSoP 仍然报告计算机端（而非用户端）组策略基础结构由于 而应用失败The specified domain either does not exist or could not be contacted。

我的诊断进展：

14. 重新配置 NIC 设置几乎完全相同的配置（IP 地址、子网掩码、默认网关和 DNS 服务器），静态而非动态地一致解决了两台受影响 PC 上的启动计算机端组策略问题。我将保留此静态配置几天，看看它是否也能解决间歇性 DNS 解析问题。

 

更新 2017/07/13 13:28

间歇性 DNS 解析问题再次出现

我的诊断进展：

15. 对带有尾随 s 的 FQDN 执行 ping 操作.没有任何区别。
16. 重新配置 NIC 设置精确的相同的配置（IP 地址、子网掩码、默认网关、DNS 服务器和特定于连接的 DNS 后缀）静态解决了该问题，尽管可能是暂时的。
17. 我发布了一个 V7 USB3 转以太网适配器，以测试它是否是板载 NIC 和交换机之间不兼容的问题。明天会出结果。

 

更新 2017/08/03 14:51：

经过 10 多个小时的诊断，根本原因似乎是 MAX RemoteManagement/MSP Remote Management 的 RMM 代理（可能是子组件高级监控代理网络管理），因为我们在 2017 年 7 月 25 日在几台受影响的 PC 上卸载了它，之后问题就没再出现。