Проблема с AD и DNS
 

Приветствую, коллеги!

Возникла проблема с контроллером домена на windows 2012

У серверов руками прописана статика с сетью 192.168.48.0\24. Контроллер домена, он же днс, с Ip 192.168.48.4.

Проблема началась с того что вдруг резко оборвались rdp сессии к нескольким серверам, не пингуются.

tcpdump на шлюзе показал, что трафик от них тем не менее идет. Подключаюсь к одной из виртуалок в Hyper-V, пытаюсь залогиниться, мне в ответ: Отсутствуют серверы, которые могли бы обработать запрос.

Думаю что за бред, на контроллер домена пол Rdp зайти могу, сейчас на нем сижу, проверил dns, проверил ip, доступность по сети - все ОК.

Запустил dcdiag /c /e /v ни одной ошибки не показал.

Попробовал создать второй контроллер домена, при повышении уровня выдает ошибку "Verification of replica failed..." и жалуется на DNS.

Посмотрел порты на которых слушает dns:

C:\Users\Администратор>netstat -na | findstr 53
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING
TCP 127.0.0.1:53 0.0.0.0:0 LISTENING
TCP 192.168.48.4:53 0.0.0.0:0 LISTENING
TCP 192.168.48.4:445 192.168.48.77:53744 ESTABLISHED
TCP 192.168.48.4:3389 37.153.18.13:21055 ESTABLISHED
TCP [::]:49153 [::]:0 LISTENING
TCP [::1]:53 [::]:0 LISTENING
TCP [::1]:389 [::1]:55533 ESTABLISHED
TCP [::1]:49155 [::1]:55530 ESTABLISHED
TCP [::1]:55530 [::1]:49155 ESTABLISHED
TCP [::1]:55533 [::1]:389 ESTABLISHED
UDP 127.0.0.1:53 *:*
UDP 192.168.48.4:53 *:*
UDP [::1]:53 *:*

Если на любом сервере сделать nslookup то он нормально подключается к dns серверу и резолвит любые запросы.

Если сделать ping office.local то он говорит "Ping request could not find host print. Please check the name and try again." При этом пинговать ya.ru или avito.ru можно без проблем

Установил на другом сервере роль DNS сервера, принял от DNS на контроллере домена всю зону, с этим проблем не было. Но даже несмотря на это, ни через новый ни через старый dns сервера не резолвятся имена машин.

Выручите, в чем может быть проблема?

ipconfig /all с контроллера домена, сервера терминалов, и виртуальной машины (если залогинится под локальной учётной записью)

Клиент и контроллер домена воткнуты в один свич c2960g-48tc-l, почитав пару форумов - отключил stp.

Клиент:

C:\Windows\system32>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : hyper
Primary Dns Suffix . . . . . . . : livetex.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : livetex.local

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physical Address. . . . . . . . . : 48-5B-39-A1-A6-34
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.48.19(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.48.1
DNS Servers . . . . . . . . . . . : 192.168.48.4
NetBIOS over Tcpip. . . . . . . . : Enabled

C:\Windows\system32>ping google.com

Pinging google.com [85.112.121.123] with 32 bytes of data:
Reply from 85.112.121.123: bytes=32 time=8ms TTL=60
Reply from 85.112.121.123: bytes=32 time=10ms TTL=60

Ping statistics for 85.112.121.123:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 8ms, Maximum = 10ms, Average = 9ms
Control-C
^C
C:\Windows\system32>ping netflow.livetex.local
Ping request could not find host netflow.livetex.local. Please check the name an
d try again.

C:\Windows\system32>ping netflow
Ping request could not find host netflow. Please check the name and try again.

Контроллер домена:

c:\>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : livetexserv
Primary Dns Suffix . . . . . . . : livetex.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : livetex.local

Ethernet adapter vEthernet (Qualcomm Atheros AR8161 8165 PCI-E Gigabit Ethernet
Controller (NDIS 6.20) - Virtual Switch):

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : ??????? Ethernet ??? ??????????? ???? Hyp
er-V #2
Physical Address. . . . . . . . . : 90-2B-34-D1-51-45
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.48.4(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.48.1
DNS Servers . . . . . . . . . . . : 127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled

c:\>ping ya.ru

Pinging ya.ru [93.158.134.3] with 32 bytes of data:
Reply from 93.158.134.3: bytes=32 time=14ms TTL=57

?????????? Ping ??? 93.158.134.3:
???????: ?????????? = 1, ???????? = 1, ???????? = 0
(0% ??????)
??????????????? ????? ??????-???????? ? ??:
??????????? = 14????, ???????????? = 14 ????, ??????? = 14 ????
Control-C
^C
c:\>ping netflow

Pinging netflow.livetex.local [192.168.48.6] with 32 bytes of data:
Reply from 192.168.48.6: bytes=32 time=1ms TTL=128
Reply from 192.168.48.6: bytes=32 time<1ms TTL=128

?????????? Ping ??? 192.168.48.6:
???????: ?????????? = 2, ???????? = 2, ???????? = 0
(0% ??????)
??????????????? ????? ??????-???????? ? ??:
??????????? = 0????, ???????????? = 1 ????, ??????? = 0 ????
Control-C
^C

Посмотрел wireshark'ом на контроллере домена: когда я пишу в командной строке на клиенте ping www.livetex.local, он даже к dns серверу не обращается, почему?

добавьте 192.168.48.4 и сделайте его первым.

с клиента:
ping 192.168.48.6
nslookup 192.168.48.6
nslookup netflow
nslookup ya.ru

к виртуалке нет возможности подключится с помощью локальной (не доменной) учётной записи?

сделал. Я не могу понять почему Ping -a клиент резолвит, nslookup тоже резолвит а когда я пингую по имени то, судя по Wireshark, он даже запрос на DNS сервер не делает, хотя я делал ipconfig /flushdns.

192.168.48.6 не пингуется, я службу фаервола у него отключил, он теперь не доступен до понедельника:)

С клиента делаю:

C:\Windows\system32>ping 192.168.48.22

Pinging 192.168.48.22 with 32 bytes of data:
Reply from 192.168.48.22: bytes=32 time=1ms TTL=128
Reply from 192.168.48.22: bytes=32 time<1ms TTL=128
Reply from 192.168.48.22: bytes=32 time<1ms TTL=128

C:\Windows\system32>ping -a 192.168.48.22

Pinging print.livetex.local [192.168.48.22] with 32 bytes of data:
Reply from 192.168.48.22: bytes=32 time<1ms TTL=128
Reply from 192.168.48.22: bytes=32 time<1ms TTL=128
Reply from 192.168.48.22: bytes=32 time<1ms TTL=128
Reply from 192.168.48.22: bytes=32 time<1ms TTL=128

C:\Windows\system32>nslookup 192.168.48.22
Server: livetexserv.livetex.local
Address: 192.168.48.4

Name: print.livetex.local
Address: 192.168.48.22

C:\Windows\system32>nslookup print
Server: livetexserv.livetex.local
Address: 192.168.48.4

Name: print.livetex.local
Address: 192.168.48.22

C:\Windows\system32>ping print
Ping request could not find host print. Please check the name and try again.

мде. непонятное что-то...
перезапустите службу ДНС на контроллере домена.

по IP зайдите на 192.168.48.22 и его ipconfig /all
посмотрите, какой профиль сетевого подключения - сеть предприятия?
если не сможете авторизоваться попробуйте на контроллере домена выполнить команду:
winrs -r:192.168.48.22 ipconfig /all

с клиента и с 192.168.48.22 route print покажите.

Судя по всему кто-то поставил DirectAccess и в GP были созданы два обьекта:

Параметры клиента DirectAccess
Параметры сервера DirectAccess

Внутри куча настроек брендмауера, dns-клиентов и тд и тп. Судя по всему они успели примениться на эти сервера и теперь получились такие проблемы. Я отключил связь, но как теперь вернуть все обратно?:(

это где? что значит "кто-то" ?
покажите, что можете. какие ДНС-клиенты?
что значит - отключил связь?

связь обьекта GPO к домену

я имел ввиду второго админа

Политика разрешения именскрыть
Общие параметрыскрыть
Дополнительно
Общие параметры
Политика Значение
Зависимость от сетевого ресурса Не настроено
Сбой запроса Всегда возвращаться к протоколу LLMNR (Link-Local Multicast Name Resolution) и NetBIOS, если имя отсутствует в DNS или если серверы DNS недоступны в частной сети (умеренная безопасность)
Разрешение запроса Не настроено


Параметры правиласкрыть
Пространство имен
office.livetex.ru
Политика Значение
Пространство имен office.livetex.ru
Центр сертификации Пустой
Конфигурация DirectAccess
DNSSEC (проверка) Не настроено
DNSSEC (IPsec) Не настроено
DNSSEC (шифрование IPsec) Не настроено
DirectAccess (IPsec) Нет
DirectAccess (шифрование IPsec) Без шифрования (только целостность)
DirectAccess (параметры прокси-сервера) Использовать по умолчанию
DirectAccess (веб-прокси) Пустой
DirectAccess (DNS-серверы) Пустой
Универсальные DNS-серверы Не настроено
Кодировка Не настроено
Версия 1

.livetex.local
Политика Значение
Пространство имен .livetex.local
Центр сертификации Пустой
Конфигурация DirectAccess
DNSSEC (проверка) Не настроено
DNSSEC (IPsec) Не настроено
DNSSEC (шифрование IPsec) Не настроено
DirectAccess (IPsec) Нет
DirectAccess (шифрование IPsec) Без шифрования (только целостность)
DirectAccess (параметры прокси-сервера) Не использовать веб-прокси
DirectAccess (веб-прокси) Пустой
DirectAccess (DNS-серверы) fd79:ecf:71c5:3333::1
Универсальные DNS-серверы Не настроено
Кодировка Не настроено
Версия 1

Как можно откатить все обратно?

я рекомендую вам обратится к нему, чтобы узнать, что и для чего он там настраивал. возможно, после его ответов:
окажется, что это не вдруг и не резко...

Собственно мои догадки подтвердились, он ставил VPN сервер и заодно решил подцепить DirectAccess.

Проблема по крайней мере судя по всему появилась именно после этих действий.

Тем не менее мне не совсем понятно почему хосты не разрешают доменные имена

весело у вас ))