Есть сервер с ОС Windows Server 2008 R2 Std.
Является контроллером домена и ДНС-сервером.
Отвечает на ДНС-запросы только от членов домена, у остальных - "request timed out".
Отключение встроенного "бредмауера" ситуацию не меняет.
Подозреваю что нужно "подкрутить" настройки безопасности самого ДНС.
Подскажите пожалуйста - что и где?

IPCONFIG /ALL с сервера и не доменных клиентов.

Отвечает на ДНС-запросы только от членов домена »
Дык у вас наверное в свойствах зоны, на динамических обновлениях выставлено "only secured" ?

на динамических обновлениях выставлено "only secured" »
http://technet.microsoft.com/ru-ru/library/cc753751.aspx
динамические обновления позволяют только клиентам вносить записи в зону.
а тут ДНС даже имена не разрешает... Точнее, ведёт себя как будто он не ДНС сервер.
например, я хочу использовать mail.ru в качестве ДНС:
C:\Users\user>nslookup oszone.net mail.ru
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 94.100.191.205

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

динамические обновления позволяют только клиентам вносить записи в зону.
а тут ДНС даже имена не разрешает... Точнее, ведёт себя как будто он не ДНС сервер. »
Именно, речь про банальное разрешение имён (для начала).
IPCONFIG /ALL с сервера и не доменных клиентов. »
В понедельник сделаю, сейчас уже не на работе.
Хотя что вы там надеетесь увидеть?..
Сервер пингуется, да и при явном указании nslookup-у ip сервера не важно какие ДНС в свойствах сетевой карты прописаны.
Ну и в порядке хохмы: часть "не доменных клиентов" - сетевые принтеры и т.п. железки. На них IPCONFIG /ALL не сделаешь.

проверьте доступность 53 порта для недоменных компов. Если нет доступа - смотрите файрвол.

Проверил "Network Scaner"-ом из NetView (уж что под рукой было).
53-й порт по tcp/udp доступен.

IPCONFIG /ALL с сервера и не доменных клиентов. »
В понедельник сделаю, сейчас уже не на работе. »

Замаскировал настоящие имена доменов.
С неотвечающего ДНСа:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DC02NAC
Основной DNS-суффикс . . . . . . : domain1.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain1.ru

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 00-50-56-9F-3D-8A
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.90.210.55(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.90.210.254
DNS-серверы. . . . . . . . . . . : 192.168.100.225
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{B05AB2A8-7B30-48BD-A4E2-FFF73ECF5DB5}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети*:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да


С компьютера не из domain1 (в данном случае - Windows Server 2003 R2):

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : avp
Основной DNS-суффикс . . . . . . : domain2.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domain2.ru

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT сетевое подключение
Физический адрес. . . . . . . . . : 00-50-56-9F-3D-89
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.90.210.45
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.90.210.254
DNS-серверы . . . . . . . . . . . : 10.90.210.30
10.90.210.31

С неотвечающего ДНСа:
IPv4-адрес. . . . . . . . . . . . : 10.90.210.55(Основной)»
С компьютера не из domain1
DNS-серверы . . . . . . . . . . . : 10.90.210.30
10.90.210.31 »
кто такие 30 и 31 ? у вашего ДНС адрес 55.

далее, если DC02NAC - это контроллер домена, какого там делает ДНС:
DNS-серверы. . . . . . . . . . . : 192.168.100.225 »

кто такие 30 и 31 ? у вашего ДНС адрес 55. »
30 и 31 - ДНСы domain2.ru
далее, если DC02NAC - это контроллер домена, какого там делает ДНС:
Цитата azhur:
DNS-серверы. . . . . . . . . . . : 192.168.100.225 » »
192.168.100.225 - это другой (первый и главный) контроллер домена domain1.ru, расположенный в головной части конторы.
Нафига оно так сделано - надо у тамошнего админа спрашивать, он сервак первоначально настраивал.
Но по-моему мешать чему-то такая настройка не должна.

ДНСы domain2.ru »
это другой домен?
Но по-моему мешать чему-то такая настройка не должна. »
если этот ДНС имеет нужную зону - ничему не будет мешать.

сколько у вас доменов? сколько сетей? есть ли маршрутизация между сетями?

если этот ДНС имеет нужную зону - ничему не будет мешать. »
Зона там есть.
На нашей площадке (территориальной) в общей сети находятся компьютеры из двух доменов.
domain2.ru - домен основного предприятия.
domain1.ru - домен другого предприятия холдинга, филиал которого находится на нашей площадке.
DC02NAC (10.90.210.55) - контроллер домена domain1.ru на нашей площадке.
192.168.100.225 - контроллер домена domain1.ru в головном офисе (до него прокинута ВПН-ка).
Есть ещё домены других предприятий холдинга на других площадках (соединение также через ВПНы), но тут они никак не участвуют.
Сетей много, маршрутизация есть, пинги ходят, по RDP везде куда надо нормально коннекчусь, и т.п.
Единственная проблема, с которой и прошу помощи, DC02NAC отвечает на ДНС-запросы только от компьютеров из domain1.ru.
192.168.100.225 - отвечает всем нормально, но не хочется грузить ДНС-запросами ВПН-ку до головного офиса, когда в своей сети есть контроллер нужного домена с ДНС.

уберите ДНС с "чужих доменов". Если вам нужны зоны других доменов - делегируйте их, но не устанавливайте ДНС первыми в чужих доменах.
Доверия между доменами есть?

покажите из двух доменов по очередно:
nslookup oszone.net 10.90.210.55
nslookup oszone.net 192.168.100.225

Ситуация разрешилась, но что это было - непонятно.
Железка, на которой работал DC02NAC, срочно потребовалась на другие нужды (и под другой ОС), и роли контроллера домена и ДНС были подняты на другом сервере, где без проблем и работают.
Нет глючного сервера - нет проблемы.