Problemas de resolução de DNS intermitentes

De ~ 140 PCs, alguns PCs (sem padrão determinado) são consistentemente incapazes de resolver o nome de domínio do AD DS durante a inicialização e, intermitentemente, não conseguem resolver os nomes DNS do AD DS após a inicialização. Isso pode ser temporariamente resolvido reiniciando o serviço do Windows DNS Client / dnscache e / ou reinicializando o PC até que ele funcione.

Meu progresso no diagnóstico:

1. Quando a resolução está em vigor, os dois controladores de domínio podem ser contatados (verificados de várias maneiras) e a Diretiva de Grupo se aplica, mas algumas políticas exigem uma reinicialização, daí o problema.
2. A configuração do DNS da NIC (servidores, etc) está correta.
3. Comando nltest /DSQUERYDNS outputs I_NetLogonControl failed: Status = 50 0x32 ERROR_NOT_SUPPORTED .
4. Comando Test-ComputerSecureChannel outputs True .
5. A atualização do dispositivo de rede Realtek PCIe GBE Family Controller do driver de dispositivo da versão 7.86.508.2014 / 2014/05/08 para a versão 7.107.323.2017 / 2017/03/23 não fez diferença.
6. \<%logonServer%>\NETLOGON\ está acessível.
7. A ativação da política local Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for the network at computer startup and logon não fez diferença.
8. Nenhum tráfego é bloqueado pelo firewall durante a reinicialização.

Até onde sei, isso só começou a acontecer desde a migração do site para uma nova rede VLAN-restrita, então não posso deixar de suspeitar do Sophos XG 210 UTM, mas isso não faz sentido, porque como era relacionado a firewall / roteamento, então eu esperaria que o problema fosse muito mais consistente e generalizado.

Atualização 2017/07/07 16:26

Meu progresso no diagnóstico:

9. Atualizando o firmware do Sophos XG da versão 16.05.3 MR-3 para a versão 16.05.5 O MR-5 não resolveu o problema.
10. Criada uma regra de firewall de rede para permitir a LAN para qualquer, o endereço IP do PC para qualquer um usando quaisquer portas / serviços não resolveu o problema.
11. Desativar o IPv6 na NIC e reinicializar não resolveu o problema.
12. A execução do comando elevado netsh int ip reset reset.log e a reinicialização não resolveram o problema.
13. Fazer logon usando um perfil de usuário local recém-gerado não resolveu o problema.

Atualização 2017/07/12 11:23

O problema mudou no PC de teste que estou usando. Pós-inicialização, o ping do nome de domínio do AD e qualquer nome de host do servidor resolve e transmite mas O RSoP ainda relata que a Infraestrutura de Diretiva de Grupo do lado do usuário (não do lado do usuário) não pôde ser aplicada porque The specified domain either does not exist or could not be contacted . / p>

Meu progresso no diagnóstico:

14. Reconfigurando a configuração da NIC quase exatamente a mesma configuração (endereço IP, máscara de sub-rede, gateway padrão e servidores DNS) estaticamente, em vez de resolver dinamicamente, resolveu o problema da Diretiva de Grupo do lado do computador em dois dos PCs afetados. Eu vou deixar esta configuração estática no lugar por alguns dias para ver se ela resolve o problema de resolução de DNS intermitente também.

Atualização 2017/07/13 13:28

O problema de resolução de DNS intermitente ocorreu

Meu progresso no diagnóstico:

15. Pingar FQDNs com . s não fez diferença.
16. Reconfigurando a configuração da NIC a mesma configuração exata (endereço IP, máscara de sub-rede, gateway padrão, servidores DNS e sufixo DNS específico da conexão) resolveu o problema estaticamente, embora provavelmente temporário.
17. Eu publiquei um adaptador USB3-para-Ethernet V7 para testar se é uma incompatibilidade entre o NIC onboard e os switches ou algo assim. Resultados amanhã.

Atualização 2017/08/03 14:51:

Mais de 10 horas de diagnósticos mais tarde, a causa raiz parece ser o agente RMM do Gerenciamento Remoto do MAX RemoteManagement / MSP (provável subcomponente Advanced Monitoring Agent Network Management), pois o desinstalamos em alguns PCs afetados em 2017/07/25 e os problemas não se repetiram desde então.