[решено] Неустойчивая работа DNS forwarder - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)

- - [решено] Неустойчивая работа DNS forwarder (http://forum.oszone.net/showthread.php?t=201569)

Raistlin

10-03-2011 03:43 1631164

Неустойчивая работа DNS forwarder

Дано: сервер на Win2k3 SE R2, выполняющий роли DC, DNS-, DHCP-, WINS-, VPN-сервера и интернет-шлюза (KWF 6.7.1 patch 2 build 6544). Плюс к этому при старте сервера устанавливаются VPN-соединения к нескольким удаленным сетям, а в KWF указаны правила маршрутизации пакетов в эти сети, и в настройках DNS-сервера (родного, M$'ного) настроено перенаправление запросов для соответствующих доменов на соответствующие DNS-серверы в удаленных сетях (т. е. DNS forwarders). Согласно хитрому плану, при этом локальные клиенты должны иметь возможность подключаться по RDP к машинам в удаленных сетях так же, как и к машинам в локальной сети, используя DNS- или NetBIOS-имена.

На практике с NetBIOS-именами проблем нет, а вот с DNS - беда. Не то чтобы они совсем не разрешаются, но не всегда.
Например, на сервере установлены 3 VPN-соединения. Условно назовем удаленные домены domain1.local, domain2.ru, domain3.local. Так вот, с локальных клиентов DC в domain2.ru пингуется, а DC в остальных доменах - нет. С самого сервера пингуется все. Потом вдруг начинает пинговаться DC в domain1.local и/или domain3.local. Причем вот только что не работало, а проверил через минуту - заработало. Сначала думал, что дело именно в успешной попытке пинга с сервера, типа, это не форвардинг сработал, а данные из кеша взяты - так ведь нет! Во-первых, сразу после пинга с сервера пытаюсь пинговать с клиента - fail. Во-вторых, после того как пинги с клиента чудесным образом пошли, они продолжают идти и после очистки локального DNS- и NBT-кеша, кеша DNS-сервера и KWF и даже рестарта DNS-сервера и переподключения к VPN. То есть если уж DC начал пинговаться, то сделать тут ничего нельзя. Только ждать, пока сам отвалится.

Настройки всех VPN-серверов идентичны. Вот ipconfig /all с сервера:

QRS	10-03-2011 22:04 1631893

Raistlin, самая первая ошибка (которая, возможно не относится к проблеме клиентов местной сети), что у Вас на всех адаптерах прописаны DNS-сервера!!!

Для сервера DC (если он единственный в лесу), должен быть прописан в качестве адреса DNS-сервера только он сам... можно через 127.0.0.1; а задавать DNS-сервер на WAN-адаптере - не лезет ни в какие ворота :)
И... уберите DNS-суффиксы на всех интерфейсах, кроме локальной сети и уберите "регистрировать в DNS" на всех интерфейсах, кроме локальной сети.

Далее,

Цитата:

Цитата Raistlin

настроено перенаправление запросов для соответствующих доменов на соответствующие DNS-серверы в удаленных сетях (т. е. DNS forwarders) »

В Вашем случае необходимо настраивать Conditional forwarding (надеюсь так и есть... и я просто уточнил).

Цитата:

Цитата Raistlin

Во-вторых, после того как пинги с клиента чудесным образом пошли, они продолжают идти и после очистки локального DNS- и NBT-кеша, кеша DNS-сервера и KWF и даже рестарта DNS-сервера и переподключения к VPN. »

Давайте называть вещи своими именами: пошли пинги - это одно, а работает разрешение имен - это другое. Проблему DNS мог бы показать сценарий: "Запустил в фоне ping (ip of remote dns-server) -t и он успешно идет... запустил nslookup пк.удаленныйдомен.ччч - он не разрешает имя" (+ приведите ipconfig /all клиента с которого идет тест).

У Вас связь между офисами стабильная? - начните с этого вопроса, и по рекомендациям причешите DNS.

Raistlin

10-03-2011 23:00 1631927

Цитата:

Цитата QRS

Для сервера DC (если он единственный в лесу), должен быть прописан в качестве адреса DNS-сервера только он сам... »

Вы посмотрите внимательнее - так и сделано. DC во всех сетях у меня имеют адреса типа 192.168.x.1.

Цитата:

Цитата QRS

уберите DNS-суффиксы на всех интерфейсах, кроме локальной сети и уберите "регистрировать в DNS" на всех интерфейсах, кроме локальной сети. »

С какой целью? Встречаются иные рекомендации:

Цитата:

You can enter a Parent domain and a DNS server address on the Domain Name and DNS Servers page (figure 16). The parent domain entry is very important. The parent domain name is the name used to qualify unqualified requests VPN clients send when resolving names on your private network. Always enter a parent domain as this allows VPN clients that are not members of the internal network domain to resolve names of servers on the internal network using DNS.

Configuring the DHCP Relay Agent to Support VPN Client TCP/IP Addressing Options

Цитата:

Цитата QRS

задавать DNS-сервер на WAN-адаптере - не лезет ни в какие ворота »

Очень интересная мысль. А вы куда адрес DNS-сервера провайдера пишете?

Цитата:

Цитата QRS

В Вашем случае необходимо настраивать Conditional forwarding »

Его и используем.

Цитата:

Цитата QRS

Давайте называть вещи своими именами: пошли пинги - это одно, а работает разрешение имен - это другое. »

Ну да, здесь немного неточно выразился. Имелось в виду, что сначала ping dc.domain1.local завершается неудачей, а потом вдруг имя начинает разрешаться. Ну, а пинги по ip-адресу или NetBIOS-имени всегда идут, впрочем, я об этом написал.
О, прямо иллюстрация к ситуации. Сначала на сервере было так:

А пока готовил сообщение, все исправилось:

И, соответственно, все стало разрешаться и на клиенте.
Все-таки подозреваю я здесь связь с попыткой пинга по DNS-имени с сервера, ибо не первый раз.

Цитата:

Цитата QRS

У Вас связь между офисами стабильная? »

Бывают проблемы: иногда VPN-соединение (одно из) активно, а пинги не идут. Но, я думаю, очевидно, что проблема не в этом, когда с сервера имена разрешаются, а с клиента - нет.

ipconfig /all на клиенте:

Код:

Windows IP Configuration



        Host Name . . . . . . . . . . . . : raistlin

        Primary Dns Suffix  . . . . . . . : mydomain.local

        Node Type . . . . . . . . . . . . : Hybrid

        IP Routing Enabled. . . . . . . . : No

        WINS Proxy Enabled. . . . . . . . : No

        DNS Suffix Search List. . . . . . : mydomain.local

                                            mydomain.local



Ethernet adapter VMware Network Adapter VMnet8:



        Connection-specific DNS Suffix  . : 

        Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet8

        Physical Address. . . . . . . . . : 00-50-56-C0-00-08

        Dhcp Enabled. . . . . . . . . . . : No

        IP Address. . . . . . . . . . . . : 192.168.239.1

        Subnet Mask . . . . . . . . . . . : 255.255.255.0

        Default Gateway . . . . . . . . . : 



Ethernet adapter VMware Network Adapter VMnet1:



        Connection-specific DNS Suffix  . : 

        Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1

        Physical Address. . . . . . . . . : 00-50-56-C0-00-01

        Dhcp Enabled. . . . . . . . . . . : No

        IP Address. . . . . . . . . . . . : 192.168.154.1

        Subnet Mask . . . . . . . . . . . : 255.255.255.0

        Default Gateway . . . . . . . . . : 



Ethernet adapter Local Area Connection 2:



        Connection-specific DNS Suffix  . : mydomain.local

        Description . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller

        Physical Address. . . . . . . . . : 00-17-31-7C-A8-2B

        Dhcp Enabled. . . . . . . . . . . : Yes

        Autoconfiguration Enabled . . . . : Yes

        IP Address. . . . . . . . . . . . : 192.168.33.11

        Subnet Mask . . . . . . . . . . . : 255.255.255.0

        Default Gateway . . . . . . . . . : 192.168.33.1

        DHCP Server . . . . . . . . . . . : 192.168.33.1

        DNS Servers . . . . . . . . . . . : 192.168.33.1

        Primary WINS Server . . . . . . . : 192.168.33.1

        Lease Obtained. . . . . . . . . . : 10 марта 2011 г. 6:17:29

        Lease Expires . . . . . . . . . . : 18 марта 2011 г. 6:17:29

QRS	11-03-2011 08:23 1632096

Цитата:

Цитата Raistlin

Вы посмотрите внимательнее - так и сделано. DC во всех сетях у меня имеют адреса типа 192.168.x.1. »

У Вас один лес с несколькими доменами или несколько лесов?
Если Ваш офис - это отдельный лес, то адрес DNS-сервера в настройках адаптера нужно задать только 127.0.0.1 и на внутреннем интерфейсе; если у Вас несколько доменов в одном лесу - нарисуйте схему - попробую посоветовать какие DNS прописать.

Цитата:

Цитата Raistlin

Очень интересная мысль. А вы куда адрес DNS-сервера провайдера пишете? »

А зачем? Вы понимаете, что настройка DNS на адаптере - это настройка клиента DNS для локальной машины и этот параметр не относится к работе сервера DSN! Ваша настройка клиента DNS на котроллере домена неверна - из-за этого у Вас могут быть проблемы с доступом.
Для разрешения внешних адресов лучше всего использовать root-hints, в крайнем случае - если очень хочется - пишется forward (уже не conditional) на сервер провайдера.

Кстати, а Вам Wins реально нужен??? Зачем он используется, если есть DNS?!!

Цитата:

Цитата Raistlin

Вы посмотрите внимательнее - так и сделано »

Цитата:

Цитата Raistlin

PPP adapter Domain2:
Connection-specific DNS Suffix . : domain2.ru
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.105
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.0.1
192.168.0.1
Primary WINS Server . . . . . . . : 192.168.0.1
Secondary WINS Server . . . . . . : 192.168.0.1 »

Я вижу, что у Вас адрес 0.105, а DNS прописан 0.1 - т.е. не собственный адрес.

Raistlin

11-03-2011 12:10 1632259

Цитата:

Цитата QRS

У Вас один лес с несколькими доменами или несколько лесов? »

У меня каждый офис - отдельный лес, что, в общем-то, очевидно из имен - в них условны только домены второго уровня. Ну, и имена DC.

Цитата:

Цитата QRS

адрес DNS-сервера в настройках адаптера нужно задать только 127.0.0.1 »

Ни в одном серьезном источнике, например, в книге Зубанова "Active Directory: подход профессионала", я не встречал рекомендации использовать такой адрес в качестве DNS-сервера. Спору нет, в высшем смысле для DC с адресом 192.168.x.1 все равно, что указывать в качестве DNS-сервера - тот же 192.168.x.1 или 127.0.0.1, - но ваше категорическое "нужно" IMHO неверно.

Цитата:

Цитата QRS

Вы понимаете, что настройка DNS на адаптере - это настройка клиента DNS для локальной машины и этот параметр не относится к работе сервера DSN! »

Еще раз прошу читать внимательно. Сервер 192.168.33.1 является у меня еще и интернет-шлюзом. NAT обеспечивается KWF, он же выполняет роль DNS relay agent, который перенаправляет запросы DNS-серверу, указанному в KWF в свойствах соответствующего интерфейса. А там указано - брать DNS-серверы из настроек соответствующего адаптера.
Вероятно, вариант с использованием root hints или conditional forwarding для all other domains тоже работать будет, но - какая разница? Мой тоже работает. А запросы, для которых должен работать conditional forwarding (т. е. запросы к доменам domain1.local, domain2.ru и domain3.local), все равно не должны доходить до внешних DNS-серверов, где их ни укажи.

Цитата:

Цитата QRS

Кстати, а Вам Wins реально нужен??? Зачем он используется, если есть DNS?!! »

Да вот, знаете, как-то нравится мне видеть все в сетевом окружении.
Вообще, интересные вы советы даете. Сначала убрать DNS-суффиксы на "лишних" интерфейсах (я так понимаю, кстати, что этот совет снят, раз вы не ответили на мое возражение?), затем отказаться от WINS. По сумме рекомендаций придется пользоваться только full qualified DNS names, разрешение которых работает как раз через пень-колоду, в отличие от NetBIOS-имен. Ежики плакали, кололись, но мужественно отказывались от WINS?
Да даже если б разрешение имен и работало - допустим, для доступа по RDC к client1.domain1.local мне нужно иметь пару saved credentials (а мне правда нужно). Один credentials я запоминаю для client1, другой - для client1.domain1.local.
В общем, я предпочитаю всегда иметь WINS включенным и настроенным. Он никому и ничему не мешает.

Цитата:

Цитата QRS

Я вижу, что у Вас адрес 0.105, а DNS прописан 0.1 - т.е. не собственный адрес. »

М-да. А строка:

Код:

Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface

ни на какие мысли не наводит? Это VPN-соединение. Читаем внимательно первое сообщение темы.

Raistlin

11-03-2011 23:48 1632840

Ради интереса перенастроил DNS на сервере согласно рекомендациям QRS:

Код:

Windows IP Configuration



   Host Name . . . . . . . . . . . . : server

   Primary Dns Suffix  . . . . . . . : mydomain.local

   Node Type . . . . . . . . . . . . : Unknown

   IP Routing Enabled. . . . . . . . : Yes

   WINS Proxy Enabled. . . . . . . . : Yes

   DNS Suffix Search List. . . . . . : mydomain.local

                                       domain2.local

                                       domain2.ru

                                       domain1.local



PPP adapter RAS Server (Dial In) Interface:



   Connection-specific DNS Suffix  . :

   Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface

   Physical Address. . . . . . . . . : 00-53-45-00-00-00

   DHCP Enabled. . . . . . . . . . . : No

   IP Address. . . . . . . . . . . . : 192.168.33.46

   Subnet Mask . . . . . . . . . . . : 255.255.255.255

   Default Gateway . . . . . . . . . :



Ethernet adapter Kerio Virtual Network:



   Connection-specific DNS Suffix  . :

   Description . . . . . . . . . . . : Kerio Virtual Network Adapter

   Physical Address. . . . . . . . . : 44-45-53-54-4F-53

   DHCP Enabled. . . . . . . . . . . : Yes

   Autoconfiguration Enabled . . . . : Yes

   IP Address. . . . . . . . . . . . : 10.253.210.1

   Subnet Mask . . . . . . . . . . . : 255.255.255.0

   Default Gateway . . . . . . . . . :

   DHCP Server . . . . . . . . . . . : 10.253.210.2

   NetBIOS over Tcpip. . . . . . . . : Disabled

   Lease Obtained. . . . . . . . . . : 11 марта 2011 г. 23:03:00

   Lease Expires . . . . . . . . . . : 12 марта 2011 г. 23:03:00



Ethernet adapter LAN:



   Connection-specific DNS Suffix  . : mydomain.local

   Description . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit Ethernet NIC

   Physical Address. . . . . . . . . : 00-11-6B-62-3C-03

   DHCP Enabled. . . . . . . . . . . : No

   IP Address. . . . . . . . . . . . : 192.168.33.1

   Subnet Mask . . . . . . . . . . . : 255.255.255.0

   Default Gateway . . . . . . . . . :

   DNS Servers . . . . . . . . . . . : 192.168.33.1

   Primary WINS Server . . . . . . . : 192.168.33.1



Ethernet adapter WAN Unet:



   Connection-specific DNS Suffix  . :

   Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC

   Physical Address. . . . . . . . . : 00-48-54-3C-D9-A0

   DHCP Enabled. . . . . . . . . . . : No

   IP Address. . . . . . . . . . . . : xx.xxx.xxx.xxx

   Subnet Mask . . . . . . . . . . . : 255.255.255.192

   Default Gateway . . . . . . . . . : xx.xxx.xxx.xxx



PPP adapter Domain3:



   Connection-specific DNS Suffix  . : domain3.local

   Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface

   Physical Address. . . . . . . . . : 00-53-45-00-00-00

   DHCP Enabled. . . . . . . . . . . : No

   IP Address. . . . . . . . . . . . : 192.168.4.23

   Subnet Mask . . . . . . . . . . . : 255.255.255.255

   Default Gateway . . . . . . . . . :

   DNS Servers . . . . . . . . . . . : 192.168.4.1

                                       192.168.4.10

                                       192.168.4.1

                                       192.168.4.10

   Primary WINS Server . . . . . . . : 192.168.4.1

   Secondary WINS Server . . . . . . : 192.168.4.1



PPP adapter Domain1:



   Connection-specific DNS Suffix  . : domain1.local

   Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface

   Physical Address. . . . . . . . . : 00-53-45-00-00-00

   DHCP Enabled. . . . . . . . . . . : No

   IP Address. . . . . . . . . . . . : 192.168.11.23

   Subnet Mask . . . . . . . . . . . : 255.255.255.255

   Default Gateway . . . . . . . . . :

   DNS Servers . . . . . . . . . . . : 192.168.11.1

                                       192.168.11.10

                                       192.168.11.1

                                       192.168.11.10

   Primary WINS Server . . . . . . . : 192.168.11.1

   Secondary WINS Server . . . . . . : 192.168.11.1



PPP adapter Domain2:



   Connection-specific DNS Suffix  . : domain2.ru

   Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface

   Physical Address. . . . . . . . . : 00-53-45-00-00-00

   DHCP Enabled. . . . . . . . . . . : No

   IP Address. . . . . . . . . . . . : 192.168.0.119

   Subnet Mask . . . . . . . . . . . : 255.255.255.255

   Default Gateway . . . . . . . . . :

   DNS Servers . . . . . . . . . . . : 192.168.0.1

                                       192.168.0.1

   Primary WINS Server . . . . . . . : 192.168.0.1

   Secondary WINS Server . . . . . . : 192.168.0.1

Внешние DNS-серверы указал в виде DNS forwarders. Естественно, ничего не изменилось: разрешение имен на клиенте работает весьма рандомно. Бывают, например, такие непонятности:

Код:

>ping domain3.local

Ping request could not find host domain3.local. Please check the name and try again.



>nslookup domain3.local.

Server:  server.mydomain.local

Address:  192.168.33.1



Name:    domain3.local

Address:  192.168.4.1

Т. е. разрешение имени через ping не работает, а через nslookup - работает. Это мне вообще непонятно.
Единственное, что выяснил, - разрешение имен на клиенте никак не связано с попыткой его разрешения на сервере, ибо сейчас на сервере нарочно ничего не пытался разрешать.

QRS	12-03-2011 00:48 1632872

Raistlin,

Цитата:

Цитата Raistlin

У меня каждый офис - отдельный лес, что, в общем-то, очевидно из имен - в них условны только домены второго уровня. Ну, и имена DC. »

Значит в настройках адаптеров DC не должно быть указано чужих DNS! А свой - хотите указывайте 127.0.0.1, хотите 192... - Ваше дело; 127.0.0.1 мне представляется рациональнее.

Цитата:

Цитата Raistlin

И зря Вы так сделали - KWF должен в качеcтве DNS использовать 127.0.0.1 или опять же 192... - это уже как сами хотите.

Цитата:

Цитата Raistlin

Вероятно, вариант с использованием root hints или conditional forwarding для all other domains тоже работать будет, но - какая разница? Мой тоже работает. »

Название темы говорит об обратном. Я же Вам рекомендую "вылизанную" схему, опробованную на многих инсталляциях и соответствующую best practice.
Я уже молчу, что 1 контроллер домена (кроме случая SBS) - это беспонтово. Их, как минимум, должно быть два, причем их primary DNS должны смотреть друг на друга, а в качестве secondary - собственный адрес.

Цитата:

Цитата Raistlin

Сначала убрать DNS-суффиксы на "лишних" интерфейсах (я так понимаю, кстати, что этот совет снят, раз вы не ответили на мое возражение?), »

А Вы понимаете смысл суффиксов? Их можно было бы прописать на клиентах... но на DC зачем это делать??!!

Цитата:

Цитата Raistlin

В общем, я предпочитаю всегда иметь WINS включенным и настроенным. Он никому и ничему не мешает. »

Вы в курсе, что когда на клиенте настроен иWINS и DNS, то первым используется WINS... что могло бы объяснить "парадокс" когда пинг имя не разрешает, а nslookup работает.

Цитата:

Цитата Raistlin

М-да. А строка:
Код:
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
ни на какие мысли не наводит? Это VPN-соединение. Читаем внимательно первое сообщение темы. »

Я же Вам о чем говорю, что у Вас PPP подключения используют "чужие" DNS, чего не должно быть.

Цитата:

Цитата Raistlin

Ничего не могу сказать ни про автора, ни про книгу. Я в основном пользуюсь http://technet.microsoft.com, причем строго на английском.

PS: если Вы такой упертый, то чего советов спрашиваете?... не работает Ваша схема и ладно.

Raistlin

12-03-2011 01:49 1632899

Цитата:

Цитата QRS

Значит в настройках адаптеров DC не должно быть указано чужих DNS! »

А на чем, собственно, основывается столь категоричное утверждение? Что такое "чужой DNS"? Вы в курсе, что Active Directory, в принципе, вовсе не привязан к майкрософтовскому DNS-серверу и вполне может использовать DNS-сервер, поднятый на Linux-машине? С другой стороны, допустим, в свойствах адаптера на DC/DNS-сервере с адресом 192.168.0.1 указано 2 DNS-сервера - 192.168.0.1 и 192.168.0.2. И что? Пока доступен DNS-сервер по адресу 192.168.0.1, для разрешения локальных имен DNS-сервер по адресу 192.168.0.2 использоваться не будет.

Цитата:

Цитата QRS

И зря Вы так сделали - KWF должен в качеcтве DNS использовать 127.0.0.1 или опять же 192... - что Вам предпочтительнее. »

Да вы обоснуйте, наконец, ваши утверждения. Ваша схема работает, кто ж спорит. Как и моя. Так почему моя неверна?

Цитата:

Цитата QRS

Название темы говорит об обратном. Я Вам рекомендую "вылизанную" схему, опробованную на многих инсталляциях и соответствующую best practice. »

В огороде бузина, а в Киеве дядька. У меня великолепно работает разрешение локальных имен и имен в Интернете. Да, толком не работает conditional forwarding и, как следствие, разрешение DNS-имен в удаленных сетях на клиенте. Но проблема-то по определению именно в локальном DNS-сервере, который - единственный! - прописан на клиенте. Так при чем здесь настройки DNS на остальных адаптерах сервера?
"Вылизанность" вашей схемы под сомнение не ставлю, однако хотелось бы уточнить: на ней реализовывалась задача, указанная в первом сообщении темы?

Цитата:

Цитата QRS

Вы в курсе, что когда на клиенте настроен WINS и DNS, то первым используется WINS... что могло бы объяснить "парадокс" когда пинга имя не разрешает, а nslookup работает. »

При разрешении full qualified name используется WINS? nslookup работает, потому что WINS? Очень занимательно.

Цитата:

Цитата QRS

Я же Вам о чем говорю, что у Вас PPP подключения используют "чужие" DNS, чего не должно быть. »

Обалдеть. А у вас PPP-подключения имеют те же адреса, что и сервер, на котором поднят RRAS? Уж не говоря о том, что это может быть вовсе не DC, что, кстати, и имеет место в одной из сетей.
Вы подключитесь к VPN и приведите тут результат ipconfig /all, интересно будет взглянуть.

Цитата:

Цитата QRS

если Вы такой упертый, то чего советов спрашиваете? »

Я вовсе не упертый. Видите, даже настройку DNS переделал. А совета я спрашиваю по совершенно определенной проблеме. Рекомендации по отключению WINS и указанию в настройках адаптеров на DC строго одного DNS-сервера к ней, очевидно, отношения не имеют.

Raistlin

14-03-2011 13:19 1634535

Проблема, вероятно, решена. Conditional forwarding был не при чем, как и настройка DNS в целом. Просто вследствие неустойчивой связи, когда VPN-соединение установлено, но реально пакеты не идут, локальный DNS-сервер при попытке разрешения имени кеширует негативный ответ. Этот ответ имеет TTL 15 минут, в течение которых клиенты разрешить имена не могут, даже если разорвать на сервере VPN-соединение и установить его заново. Помогает очистка кеша на DNS-сервере.
Поддержание VPN-соединений в "живом" состоянии (путем пингования раз в 5 минут) и, при необходимости, их разрыв, установление заново и очистка кеша DNS-сервера обеспечиваются скриптом nnCron:

Код:

#( CLASSIC-TASK-#-Keep_VPN_Alive_Aux

        AsLoggedUser

        NoLog

        NoActive

        Action:

                ONLINE: "VPN2" IF

                        HOST-EXIST: dc.domain2.ru NOT IF

                                HANGUP: "VPN2"

                                FILE-CREATE: var\ClearDnsCache

                                START-APPW: rasphone.exe -d VPN2

                                LOG: "var\KeepVpnAlive.log" "%CUR-DATE DATE>S% %Hour@ N>S%:%Min@ N>S% VPN2 was reestablished"

                        THEN

                THEN

                ONLINE: "VPN1" IF

                        HOST-EXIST: dc.domain1.local NOT IF

                                HANGUP: "VPN1"

                                FILE-CREATE: var\ClearDnsCache

                                START-APPW: rasphone.exe -d VPN1

                                LOG: "var\KeepVpnAlive.log" "%CUR-DATE DATE>S% %Hour@ N>S%:%Min@ N>S% VPN1 was reestablished"

                        THEN

                THEN

                ONLINE: "VPN3" IF

                        HOST-EXIST: dc.domain3.local NOT IF

                                HANGUP: "VPN3"

                                FILE-CREATE: var\ClearDnsCache

                                START-APPW: rasphone.exe -d VPN3

                                LOG: "var\KeepVpnAlive.log" "%CUR-DATE DATE>S% %Hour@ N>S%:%Min@ N>S% VPN3 was reestablished"

                        THEN

                THEN

                FILE-CREATE: "var\Keep_VPN_Alive.done"

)#



#( Keep_VPN_Alive

        Rule: LOGGEDON?

        Time: */5

        SingleInstance

        Action:

                CLASSIC-TASK-#-Keep_VPN_Alive_Aux LAUNCH

                BEGIN 1000 PAUSE FILE-EXIST: "var\Keep_VPN_Alive.done" UNTIL

                FILE-DELETE: "var\Keep_VPN_Alive.done"

                FILE-EXIST: "var\ClearDnsCache" IF

                        SWHide START-APPW: dnscmd . /clearcache

                        S" DNS cache clear result: " ExitCodeProc N>S S+ CRON-LOG

                        FILE-DELETE: "var\ClearDnsCache"

                THEN

)#

С новой системой все работает без проблем уже более 12 часов, чего раньше не случалось.

Остается, правда, непонятным, почему наблюдалось разрешение имени через nslookup и неразрешение через ping.

QRS, спасибо за советы по поводу использования внешних DNS-серверов и за пинок в направлении nslookup.

QRS	14-03-2011 21:13 1634925

В отношении проблем связи Вам можно было бы на Вашем сервере поднять secondary zone - в этом случае проблемы со связью не влияли бы на разрешение имен DNS.

Raistlin

14-03-2011 21:18 1634928

Проблему со связью все равно надо было решать, а добавить очистку кеша несложно. Каждый раз при умирании VPN-соединений чистить кеш, конечно, не очень красиво, но пинга раз в 5 минут вроде хватает, чтобы они не умирали.
Дочитаю TechNet, может, и сделаю secondary zones :) .

Время: 20:53.