none
Задвоение суфикса ДНС на машинах. RRS feed

  • Вопрос

  • Здравствуйте подскажите как быть с проблемой.

    Случилось так что умер один из КД после насильного его исключения из домена и передачи ролей другим кд обождал пару деньков проверил домен через dcdiag на стандартных тестах было все чисто за исключением теста SystemLog и это все были ошибки времен пока отсутствовал умерший КД.

    Переустановил машина и на всякий случай решил ввести КД в домен с другим именем и другим IP вроде все прошло штатно через сутки проверил dcdiag все чисто сеть работает домен тоже.

    Но через пару дней заметил что не правильно работает выдача nslookup на клиентах если искать внешние адреса.

    Изначально имя моего домена ххх.com.ru и соответственно DNS суффикс для поиска такой же.

    Но после у машин при выводе команды ipconfig /all в поле "Порядок просмотра суффиксов DNS" появилось два суффикса

    Первый как и был мой домен  ххх.com.ru, а вот второй com.ru

    При попытке запросить внешнее имя скажем mail.ru через nslookup получаю ответ

    mail.ru.com.ru и какой-то левый IP и такой вывод на любой внешний адрес.

    Если спросить mail.ru. то есть с точкой в конце то все ок выдает 4 IP mail.ru

    Если в настройках сетевой карты машины там где настраивается DNS клиент переключиться с варианта "Дописывать основной суффикс и суффикс подключения" на вариант Дописывать следующие суффиксы и руками указать суффикс моего домена то второй суффикс пропадает из вывода ipconfig и выдача nslookup нормализуется.

    Понимаю что можно все политикой установить принудительно указанную выше настройку и забыть но хотелось бы разобраться что именно случилось и может быть можно как то это починить без костылей?

    21 февраля 2015 г. 19:18

Ответы

Все ответы

  • покажите

    nslookup

    > set all

    в выводе srchlist

    22 февраля 2015 г. 0:03
    Отвечающий
  • Установите параметры:
      nodebug
      defname
      search
      recurse
      nod2
      novc
      noignoretc
      port=53
      type=A+AAAA
      class=IN
      timeout=2
      retry=1
      root=A.ROOT-SERVERS.NET.
      domain=xxx.com.ru
      MSxfr
      IXFRversion=1
      srchlist=xxx.com.ru/com.ru

    >
    22 февраля 2015 г. 20:32
  • У Вас контроллеры на базе Windows Server 2008 или 2008 R2? Домен com.ru для Вас родительский домен,  или xxx.com.ru корневой?

    23 февраля 2015 г. 10:40
    Отвечающий
  • контроллеры на 2008 и 1 еще на 2003 остался.

    com.ru ко мне никакого отношения не имеет ставился домен только как xxx.com.ru родительского нет. Откуда взялся com.ru не могу понять что то глюкнуло при вводе DC

    23 февраля 2015 г. 10:57
  • Внимательно прочитайте статью базы знаний Поведение клиентских компьютеров после установки обновления для системы безопасности DNS

    После сравните все текущие настройки, т.е.: наличие обновления на серверах и рабочих станциях, настройки на сетевых адаптерах, значения ключей реестра, если такие есть. После этого можно будет понять в каком направлении двигаться.   

    23 февраля 2015 г. 11:47
    Отвечающий
  • Прочитал

    В политиках Регрессирование основного DNS-суффикса не задано

    А Вот в реестре как оказалось HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\UseDomainNameDevolution 

    Установлен как 1-ца и как я понял этот параметр меняется от переключения галки в настройках Днс клиента в сетевых настройках

    1-ца если стоит "Дописывать основной суффикс и суффикс подключения"

    0-ль если стоит Дописывать следующие суффиксы

    Второй описанный ключ DomainNameDevolutionLevel в реестре не нашел.

    Откуда в реестре взялся первый ключ не понимаю нигде в политиках такое не упомянуто. Но уже проверил 10-к машин везде он есть и везде стоит в 1-це. 



    23 февраля 2015 г. 18:27
  • Наличие раздела с UseDomainNameDevolution это скорее нормально, чем плохо. Значение равное 1

    Значение равное 0

    Интереснее ситуация, если бы был раздел с DomainNameDevolutionLevel.

    Как насчет самого обновления (kb957579) на серверах и станциях?

     


    23 февраля 2015 г. 18:59
    Отвечающий
  • Все проверить не могу но на новом DC такого обновления нет.

    Как и на паре серверов которые проверил.

    Кстати в выводе srchlist=xxx.com.ru/com.ru 

    /com.ru остается вне зависимости от галки на вашем скрине, пропадает только если переключить в нижний вариант и вписать руками свой суффикс домена.


    23 февраля 2015 г. 19:55
  • Я пока ничего не утверждаю... сейчас полнота информации важнее. Просьба проверить на остальных контроллерах (DNS серверах). 
    23 февраля 2015 г. 20:06
    Отвечающий
  • Проверил на DC и DNS серверах такого обновления не установлено.
    23 февраля 2015 г. 20:52
  • Прошу прощения, за молчание... Установите обновление (kb957579) на все серверы. Думаю, что ситуация исправиться.

    26 февраля 2015 г. 19:00
    Отвечающий
  • Попробую спасибо. Все серверы имеются в виду серверы DC,dns или вообще все машины домена?

    А может стоит просто настроить политику домена запретив Регрессирование основного DNS-суффикса 

    Или может выползти где то еще ошибка?

    з.ы. Может подскажите где подробнее почитать что именно произошло что выполз такой косяк?


    26 февраля 2015 г. 20:10