Com poucas palavras, o problema é que poucos nomes de domínio não são resolvidos pelas estações de trabalho em nossa rede, enquanto isso é feito da sessão da Área de Trabalho Remota no servidor.
Agora os detalhes.
Temos uma rede de domínio do Windows por trás de um roteador. Os endereços internos são do intervalo 192.168.1.x. Há uma construção de encapsulamento para um site do cliente, onde os endereços são do intervalo 10.x.x.x. Isso funciona corretamente por muito tempo.
Existem alguns nomes de domínio definidos pelo cliente, apontando para os servidores em sua rede interna. Eles não são publicamente visíveis, portanto, para acessá-los, adicionei encaminhadores condicionais em nosso controlador de domínio (192.168.1.1, Windows Server 2008 R2), mas alguns deles, às vezes, são resolvidos por servidores de nome público. Não estou ciente da configuração, mas o administrador de rede do cliente afirma que devemos consultar seus servidores de nomes diretamente, portanto, os encaminhadores condicionais. Isso funcionou sem problemas por um longo tempo.
Eu precisava atualizar o controlador de domínio para o Windows Server 2016. Para isso, adicionei um domínio secundário (192.168.1.7, Windows Server 2012 R2). O AD, incluindo os encaminhadores condicionais, foi replicado para esse novo servidor. Neste momento não tivemos problemas. Havia estações de trabalho com o DNS primário definido para o DC primário (192.168.1.1) e outras em que o DNS primário estava configurado para o DC secundário (192.168.1.7). Os domínios do cliente foram resolvidos com sucesso em todas as estações de trabalho.
Em seguida, instalei o Windows Server 2016 no servidor principal (192.168.1.1) e o promovi como um DC principal. O AD é replicado e os encaminhadores condicionais estão no lugar. No entanto, quando uma estação de trabalho tenta resolver o domínio de um cliente, ele é bem-sucedido se o DNS for o DC secundário (192.168.1.7), mas falhar se for o DC primário (192.168.1.1). Interessante o suficiente, a consulta DNS é resolvida no próprio servidor (em uma sessão de Área de Trabalho Remota).
Caso contrário, o DNS parece funcionar corretamente, porque não há problemas com outros nomes de domínio (o acesso à Internet está funcionando corretamente por algumas semanas).
A configuração de rede dos clientes é a seguinte:
- endereço IP: 192.168.1.x
- Máscara: 255.255.255.0
- GW: 192.168.1.10 (IP do roteador)
- DNS primário: 192.168.1.1 ou 192.168.1.7 (DC primário e secundário)
- DNS secundário: vazio
O DNS em ambos os controladores de domínio é configurado da mesma maneira (pelo menos não encontrei diferenças significativas):
- Ouça em todos os endereços IP
- Os encaminhadores são os mesmos, na mesma ordem, da seguinte forma: o DNS público do Google (8.8.8.8), o IP do roteador principal (192.168.1.10), o roteador da linha de backup (192.168.1.11)
- As mesmas dicas de raiz nos dois servidores (o padrão)
- Mesmas opções padrão na caixa de diálogo de propriedades do DNS (a recursão não está desativada)
- Mesmas opções de segurança na caixa de diálogo de propriedades do DNS
- Mesma lista de encaminhadores condicionais em ambos os controladores de domínio (eles são replicados automaticamente, não os reinscrevi em cada servidor separadamente)
Neste ponto, posso resolver o domínio do cliente nos dois servidores.
Se eu tentar fazer o ping deste domínio em uma estação de trabalho, será bem-sucedido se o DNS primário for 192.168.1.7, mas falhar se for 192.168.1.1.
Eu sou capaz de fazer ping em domínios da Internet em uma estação de trabalho, independentemente de seu DNS primário (os 192.168.1.1 e 192.168.1.7 funcionam corretamente).
Ao usar o nslookup com um servidor, ele falha com "solicitação de DNS esgotada" quando o servidor é 192.168.1.1, mas é bem-sucedido se for 192.168.1.7 ou servidor de nomes do cliente (10.xxx), independentemente do conjunto de DNS (192.168.1.1 ou 192.168.1.7).
Eu usei o DNSQuerySniffer do Nir Sofer na estação de trabalho ao executar ping no domínio do cliente. Quando o DNS é 192.168.1.1, vejo 5 solicitações - 4 sem resposta eo quinto retorna "Falha do servidor", todos do IP da estação de trabalho e com 192.168.1.1 como endereço de destino. Quando o DNS da estação de trabalho é definido como 192.168.1.7, vejo apenas uma solicitação, que é bem-sucedida. Quando executá-lo nos servidores, no 192.168.1.1, eu vejo a solicitação de DNS para o meu roteador, enquanto ele deve estar no servidor de nomes do cliente, ou seja. forwarders condicionais não funcionam e este domínio foi resolvido por um DNS público (que pode, ou não, resolvê-lo, mas para seguir as instruções do cliente, tenho que consultar seu servidor de nomes diretamente). Em 192.168.1.7 eu vejo uma solicitação para o IP do servidor de nomes (10.x.x.x), ou seja. trabalhos de encaminhamento condicional .
Eu me sinto extremamente idiota! Obviamente estou perdendo alguma coisa. O que você acha que eu deveria verificar? Qual poderia ser o motivo do encaminhamento condicional para não funcionar neste DC? Ficarei muito grato por qualquer ajuda!
Obrigado antecipadamente!