Войти

Показать полную графическую версию : DNS на Win 2008 R2. Не отвечает другим подсетям.


Страниц : [1] 2

immoe
17-06-2013, 11:18
Здравствуйте. Столкнулся со странным явлением.
На Windows Server 2008 R2 SP1 поднят контроллер домена с DNS, и на DNS запросы сервер отвечает только клиентам из собственной подсети. Другие подсети просто игнорируются, при этом никаких ошибок в логах не регистрируется.
Второй контроллер домена (Windows Server 2008 SP2) отвечает всем. В других подсетях есть еще 2 контроллера, и они так же отвечают всем.

Кто-нибудь сталкивался с таким?

astomper7
17-06-2013, 11:30
immoe, ipv6 включен на проблемном DC?

immoe
17-06-2013, 11:37
astomper7, IPv6 и включал, и выключал (причем на всех контроллерах) - результат одинаковый.

brass_net
17-06-2013, 12:51
отвечает только клиентам из собственной подсети. Другие подсети просто игнорируются, при этом никаких ошибок в логах не регистрируется.
Второй контроллер домена (Windows Server 2008 SP2) отвечает всем. В других подсетях есть еще 2 контроллера, и они так же отвечают всем. »
А он про другие подсети знает/прослушивает?
Настройки сравнивали?

immoe
17-06-2013, 13:10
А он про другие подсети знает/прослушивает?
Настройки сравнивали? »

Настройки везде одинаковые. На контроллерах по одному сетевому интерфейсу, DNS слушает все. PING отвечает исправно. Репликация идет без ошибок. Рабочие подсети разделены на сайты, одна тестовая подсеть в сайтах не указана, но на результат это не влияет.

astomper7
17-06-2013, 13:31
immoe, попробуйте удалить кэш DNS на проблемном DC.

immoe
17-06-2013, 13:55
astomper7, очистка кэша проблемы не решила...

astomper7
17-06-2013, 14:04
nslookup имя домена выдает лист всех контроллеров?

immoe
17-06-2013, 14:23
nslookup имя домена выдает лист всех контроллеров? »

В основной подсети (с проблемным DNS) выдает все три КД. В дополнительной подсети присутствует одна задержка на 2 сек. и потом выдает все три КД. Странно...

Its-me-again
17-06-2013, 22:52
telnet имя_dc 53 проходит?

immoe
18-06-2013, 10:49
telnet имя_dc 53 проходит? »
Telnet не проходит никуда.
Вчера поднял новый КД. Работает без ошибок. Сегодня попробую передать ему все роли.

Its-me-again
18-06-2013, 12:25
Я может быть неправильно выразился - у вас TCP/UDP 53 порт открыт из проблемных подсетей к DNS серверу? Если нет - тогда причина в этом.

immoe
18-06-2013, 14:51
Я может быть неправильно выразился - у вас TCP/UDP 53 порт открыт из проблемных подсетей к DNS серверу? Если нет - тогда причина в этом. »
Порт открыт. Подсети соединяются шлюзами. Вот сейчас у меня два соверешенно одинаковых КД с DNS со всеми патчами. Один отвечает всем, другой только своей подсети.

На английских форумах подобные проблемы решались поднятием нового КД. Странно, видимо случайная ошибка где-то на уровне протоколов.

Its-me-again
18-06-2013, 15:26
Интересно было бы поставить сниффер на проблемном DC и отсниффить доходят ли запросы клиентов до него.
"Telnet не проходит никуда. " - похоже на локальную сетевую проблему. Может даже из-за локального файрволла.
Но раз все решилось установкой другого DNS, то наверное смысла заморачиваться и нет.

immoe
18-06-2013, 16:55
Интересно было бы поставить сниффер на проблемном DC и отсниффить доходят ли запросы клиентов до него. »

Вот-вот. У меня тоже "руки чешутся". Дилема - или "закопать труп" для освобождения харварных ресурсов, или препарировать с целью изучения :)

immoe
18-06-2013, 18:44
Сниффер DNS запросы из других подсетей не регистрирует. Хотя NetBios и ICMP проходят. И повторюсь, это только на ОДНОМ КД. Остальные работают нормально. Завтра попробую сменить MAC карты.

Telepuzik
19-06-2013, 08:59
Сниффер DNS запросы из других подсетей не регистрирует. »
На клиенте мз другой подсети запустите nslookup затем server <ip адрес проблемного DNS сервера>, далее введите www.ru и вывод покажите.

immoe
19-06-2013, 10:50
На клиенте мз другой подсети запустите nslookup затем server <ip адрес проблемного DNS сервера>, далее введите www.ru и вывод покажите. »

Немного не так: nslookup www.ru <IP_DNS>.
Ок. Конкретика.

DC1 (рабочий): 192.168.101.249/24, GW: 192.168.101.6
DC3 (проблемный): 192.168.101.13/24, GW: 192.168.101.6
CLIENT_1 (подсеть DNS): 192.168.101.181/24, GW: 192.168.101.6
CLIENT_2 (другая подсеть): 192.168.0.74/24, GW: 192.168.0.6
GATEWAY: 192.168.101.6/24, 192.168.0.6/24, <внешний интерфейс провайдера>


DNS_1 и DNS_2 - это КД на Windows Server 2008 R2 SP1 со всеми обновлениями. Брендмауеры для чистоты эксперимента везде отключены.

1. PING cо всех клиентов на все DNS - 1 мс.
2. CLIENT_1.
nslookup www.ru 192.168.101.249

Server: dc1.corp.dp.ua
Address: 192.168.101.249

Non-authoritative answer:
Name: www.ru.dp.ua
Address: 193.109.247.77

nslookup www.ru 192.168.101.13

Server: dc3.corp.dp.ua
Address: 192.168.101.13

Non-authoritative answer:
Name: www.ru.dp.ua
Address: 193.109.247.77

2. CLIENT_2

nslookup www.ru 192.168.101.249

Server: dc1.corp.dp.ua
Address: 192.168.101.249

Non-authoritative answer:
Name: www.ru.dp.ua
Address: 193.109.247.77

nslookup www.ru 192.168.101.13

DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.101.13

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

Telepuzik
19-06-2013, 11:04
Немного не так: nslookup www.ru <IP_DNS>. »
Это Вы написали если не запускать nslookup без параметров, я же Вам написал как через запуск nslookup указать утилите какой сервер использовать
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.101.13
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out »
Смотрите правила файрвола на проблемном КД или на маршрутизаторе, у Вас кто то блокирует DNS трафик.

immoe
19-06-2013, 11:11
Смотрите правила файрвола на проблемном КД или на шлизах, у Вас кто то блокирует DNS трафик. »

Файрволы все отключены. На проблемном DC3 траффик DNS с других подсетей сниффером не отлавливается вообще. В том то и загадка! Может шлюз (ENDIAN), конечно, режет. Но почему именно на один конкретный DNS? А если еще учесть, что обе ОС - это виртуалки на одном хосте, и работают на одной физической сетевой карте...
Кстати, еще одна идея для экспериментов. Попробую добавить на DC3 еще один сетевой интерфейс.




© OSzone.net 2001-2012