Здравствуйте. Столкнулся со странным явлением.
На Windows Server 2008 R2 SP1 поднят контроллер домена с DNS, и на DNS запросы сервер отвечает только клиентам из собственной подсети. Другие подсети просто игнорируются, при этом никаких ошибок в логах не регистрируется.
Второй контроллер домена (Windows Server 2008 SP2) отвечает всем. В других подсетях есть еще 2 контроллера, и они так же отвечают всем.

Кто-нибудь сталкивался с таким?

immoe, ipv6 включен на проблемном DC?

astomper7, IPv6 и включал, и выключал (причем на всех контроллерах) - результат одинаковый.

отвечает только клиентам из собственной подсети. Другие подсети просто игнорируются, при этом никаких ошибок в логах не регистрируется.
Второй контроллер домена (Windows Server 2008 SP2) отвечает всем. В других подсетях есть еще 2 контроллера, и они так же отвечают всем. »
А он про другие подсети знает/прослушивает?
Настройки сравнивали?

А он про другие подсети знает/прослушивает?
Настройки сравнивали? »

Настройки везде одинаковые. На контроллерах по одному сетевому интерфейсу, DNS слушает все. PING отвечает исправно. Репликация идет без ошибок. Рабочие подсети разделены на сайты, одна тестовая подсеть в сайтах не указана, но на результат это не влияет.

immoe, попробуйте удалить кэш DNS на проблемном DC.

astomper7, очистка кэша проблемы не решила...

nslookup имя домена выдает лист всех контроллеров?

nslookup имя домена выдает лист всех контроллеров? »

В основной подсети (с проблемным DNS) выдает все три КД. В дополнительной подсети присутствует одна задержка на 2 сек. и потом выдает все три КД. Странно...

telnet имя_dc 53 проходит?

telnet имя_dc 53 проходит? »
Telnet не проходит никуда.
Вчера поднял новый КД. Работает без ошибок. Сегодня попробую передать ему все роли.

Я может быть неправильно выразился - у вас TCP/UDP 53 порт открыт из проблемных подсетей к DNS серверу? Если нет - тогда причина в этом.

Я может быть неправильно выразился - у вас TCP/UDP 53 порт открыт из проблемных подсетей к DNS серверу? Если нет - тогда причина в этом. »
Порт открыт. Подсети соединяются шлюзами. Вот сейчас у меня два соверешенно одинаковых КД с DNS со всеми патчами. Один отвечает всем, другой только своей подсети.

На английских форумах подобные проблемы решались поднятием нового КД. Странно, видимо случайная ошибка где-то на уровне протоколов.

Интересно было бы поставить сниффер на проблемном DC и отсниффить доходят ли запросы клиентов до него.
"Telnet не проходит никуда. " - похоже на локальную сетевую проблему. Может даже из-за локального файрволла.
Но раз все решилось установкой другого DNS, то наверное смысла заморачиваться и нет.

Интересно было бы поставить сниффер на проблемном DC и отсниффить доходят ли запросы клиентов до него. »

Вот-вот. У меня тоже "руки чешутся". Дилема - или "закопать труп" для освобождения харварных ресурсов, или препарировать с целью изучения :)

Сниффер DNS запросы из других подсетей не регистрирует. Хотя NetBios и ICMP проходят. И повторюсь, это только на ОДНОМ КД. Остальные работают нормально. Завтра попробую сменить MAC карты.

Сниффер DNS запросы из других подсетей не регистрирует. »
На клиенте мз другой подсети запустите nslookup затем server <ip адрес проблемного DNS сервера>, далее введите www.ru и вывод покажите.

На клиенте мз другой подсети запустите nslookup затем server <ip адрес проблемного DNS сервера>, далее введите www.ru и вывод покажите. »

Немного не так: nslookup www.ru <IP_DNS>.
Ок. Конкретика.

DC1 (рабочий): 192.168.101.249/24, GW: 192.168.101.6
DC3 (проблемный): 192.168.101.13/24, GW: 192.168.101.6
CLIENT_1 (подсеть DNS): 192.168.101.181/24, GW: 192.168.101.6
CLIENT_2 (другая подсеть): 192.168.0.74/24, GW: 192.168.0.6
GATEWAY: 192.168.101.6/24, 192.168.0.6/24, <внешний интерфейс провайдера>


DNS_1 и DNS_2 - это КД на Windows Server 2008 R2 SP1 со всеми обновлениями. Брендмауеры для чистоты эксперимента везде отключены.

1. PING cо всех клиентов на все DNS - 1 мс.
2. CLIENT_1.
nslookup www.ru 192.168.101.249

Server: dc1.corp.dp.ua
Address: 192.168.101.249

Non-authoritative answer:
Name: www.ru.dp.ua
Address: 193.109.247.77

nslookup www.ru 192.168.101.13

Server: dc3.corp.dp.ua
Address: 192.168.101.13

Non-authoritative answer:
Name: www.ru.dp.ua
Address: 193.109.247.77

2. CLIENT_2

nslookup www.ru 192.168.101.249

Server: dc1.corp.dp.ua
Address: 192.168.101.249

Non-authoritative answer:
Name: www.ru.dp.ua
Address: 193.109.247.77

nslookup www.ru 192.168.101.13

DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.101.13

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

Немного не так: nslookup www.ru <IP_DNS>. »
Это Вы написали если не запускать nslookup без параметров, я же Вам написал как через запуск nslookup указать утилите какой сервер использовать
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.101.13
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out »
Смотрите правила файрвола на проблемном КД или на маршрутизаторе, у Вас кто то блокирует DNS трафик.

Смотрите правила файрвола на проблемном КД или на шлизах, у Вас кто то блокирует DNS трафик. »

Файрволы все отключены. На проблемном DC3 траффик DNS с других подсетей сниффером не отлавливается вообще. В том то и загадка! Может шлюз (ENDIAN), конечно, режет. Но почему именно на один конкретный DNS? А если еще учесть, что обе ОС - это виртуалки на одном хосте, и работают на одной физической сетевой карте...
Кстати, еще одна идея для экспериментов. Попробую добавить на DC3 еще один сетевой интерфейс.