[решено] Windows Server 2008 R2: DNS отвечает только членам домена

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

Windows Server 2008 R2: DNS отвечает только членам домена

Есть сервер с ОС Windows Server 2008 R2 Std.
Является контроллером домена и ДНС-сервером.
Отвечает на ДНС-запросы только от членов домена, у остальных - "request timed out".
Отключение встроенного "бредмауера" ситуацию не меняет.
Подозреваю что нужно "подкрутить" настройки безопасности самого ДНС.
Подскажите пожалуйста - что и где?

IPCONFIG /ALL с сервера и не доменных клиентов.

Цитата:

Цитата azhur

Отвечает на ДНС-запросы только от членов домена »

Дык у вас наверное в свойствах зоны, на динамических обновлениях выставлено "only secured" ?

Цитата:

Цитата stolyar

на динамических обновлениях выставлено "only secured" »

http://technet.microsoft.com/ru-ru/l.../cc753751.aspx
динамические обновления позволяют только клиентам вносить записи в зону.
а тут ДНС даже имена не разрешает... Точнее, ведёт себя как будто он не ДНС сервер.
например, я хочу использовать mail.ru в качестве ДНС:

Цитата:

C:\Users\user>nslookup oszone.net mail.ru
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 94.100.191.205

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

Цитата:

Цитата exo

динамические обновления позволяют только клиентам вносить записи в зону.
а тут ДНС даже имена не разрешает... Точнее, ведёт себя как будто он не ДНС сервер. »

Именно, речь про банальное разрешение имён (для начала).

Цитата:

Цитата exo

IPCONFIG /ALL с сервера и не доменных клиентов. »

В понедельник сделаю, сейчас уже не на работе.
Хотя что вы там надеетесь увидеть?..
Сервер пингуется, да и при явном указании nslookup-у ip сервера не важно какие ДНС в свойствах сетевой карты прописаны.
Ну и в порядке хохмы: часть "не доменных клиентов" - сетевые принтеры и т.п. железки. На них IPCONFIG /ALL не сделаешь.

проверьте доступность 53 порта для недоменных компов. Если нет доступа - смотрите файрвол.

Проверил "Network Scaner"-ом из NetView (уж что под рукой было).
53-й порт по tcp/udp доступен.

Цитата:

Цитата azhur

IPCONFIG /ALL с сервера и не доменных клиентов. »
В понедельник сделаю, сейчас уже не на работе. »

Замаскировал настоящие имена доменов.
С неотвечающего ДНСа:

Код:

Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : DC02NAC

   Основной DNS-суффикс  . . . . . . : domain1.ru

   Тип узла. . . . . . . . . . . . . : Гибридный

   IP-маршрутизация включена . . . . : Нет

   WINS-прокси включен . . . . . . . : Нет

   Порядок просмотра суффиксов DNS . : domain1.ru



Ethernet adapter Подключение по локальной сети:



   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT

   Физический адрес. . . . . . . . . : 00-50-56-9F-3D-8A

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 10.90.210.55(Основной)

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . : 10.90.210.254

   DNS-серверы. . . . . . . . . . . : 192.168.100.225

   NetBios через TCP/IP. . . . . . . . : Включен



Туннельный адаптер isatap.{B05AB2A8-7B30-48BD-A4E2-FFF73ECF5DB5}:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да



Туннельный адаптер Подключение по локальной сети*:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

С компьютера не из domain1 (в данном случае - Windows Server 2003 R2):

Код:

Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : avp

   Основной DNS-суффикс  . . . . . . : domain2.ru

   Тип узла. . . . . . . . . . . . . : неизвестный

   IP-маршрутизация включена . . . . : нет

   WINS-прокси включен . . . . . . . : нет

   Порядок просмотра суффиксов DNS . : domain2.ru



Подключение по локальной сети - Ethernet адаптер:



   DNS-суффикс этого подключения . . :

   Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT сетевое подключение

   Физический адрес. . . . . . . . . : 00-50-56-9F-3D-89

   DHCP включен. . . . . . . . . . . : нет

   IP-адрес  . . . . . . . . . . . . : 10.90.210.45

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз . . . . . . . . . . : 10.90.210.254

   DNS-серверы . . . . . . . . . . . : 10.90.210.30

                                       10.90.210.31

Цитата:

Цитата azhur

С неотвечающего ДНСа:
IPv4-адрес. . . . . . . . . . . . : 10.90.210.55(Основной)»

Цитата:

Цитата azhur

С компьютера не из domain1
DNS-серверы . . . . . . . . . . . : 10.90.210.30
10.90.210.31 »

кто такие 30 и 31 ? у вашего ДНС адрес 55.

далее, если DC02NAC - это контроллер домена, какого там делает ДНС:

Цитата:

Цитата azhur

DNS-серверы. . . . . . . . . . . : 192.168.100.225 »

Цитата:

Цитата exo

кто такие 30 и 31 ? у вашего ДНС адрес 55. »

30 и 31 - ДНСы domain2.ru

Цитата:

Цитата exo

далее, если DC02NAC - это контроллер домена, какого там делает ДНС:
Цитата azhur:
DNS-серверы. . . . . . . . . . . : 192.168.100.225 » »

192.168.100.225 - это другой (первый и главный) контроллер домена domain1.ru, расположенный в головной части конторы.
Нафига оно так сделано - надо у тамошнего админа спрашивать, он сервак первоначально настраивал.
Но по-моему мешать чему-то такая настройка не должна.

Цитата:

Цитата azhur

ДНСы domain2.ru »

это другой домен?

Цитата:

Цитата azhur

Но по-моему мешать чему-то такая настройка не должна. »

если этот ДНС имеет нужную зону - ничему не будет мешать.

сколько у вас доменов? сколько сетей? есть ли маршрутизация между сетями?

Цитата:

Цитата exo

если этот ДНС имеет нужную зону - ничему не будет мешать. »

Зона там есть.
На нашей площадке (территориальной) в общей сети находятся компьютеры из двух доменов.
domain2.ru - домен основного предприятия.
domain1.ru - домен другого предприятия холдинга, филиал которого находится на нашей площадке.
DC02NAC (10.90.210.55) - контроллер домена domain1.ru на нашей площадке.
192.168.100.225 - контроллер домена domain1.ru в головном офисе (до него прокинута ВПН-ка).
Есть ещё домены других предприятий холдинга на других площадках (соединение также через ВПНы), но тут они никак не участвуют.
Сетей много, маршрутизация есть, пинги ходят, по RDP везде куда надо нормально коннекчусь, и т.п.
Единственная проблема, с которой и прошу помощи, DC02NAC отвечает на ДНС-запросы только от компьютеров из domain1.ru.
192.168.100.225 - отвечает всем нормально, но не хочется грузить ДНС-запросами ВПН-ку до головного офиса, когда в своей сети есть контроллер нужного домена с ДНС.

уберите ДНС с "чужих доменов". Если вам нужны зоны других доменов - делегируйте их, но не устанавливайте ДНС первыми в чужих доменах.
Доверия между доменами есть?

покажите из двух доменов по очередно:
nslookup oszone.net 10.90.210.55
nslookup oszone.net 192.168.100.225

Ситуация разрешилась, но что это было - непонятно.
Железка, на которой работал DC02NAC, срочно потребовалась на другие нужды (и под другой ОС), и роли контроллера домена и ДНС были подняты на другом сервере, где без проблем и работают.
Нет глючного сервера - нет проблемы.