我有一个Windows 2008 R2的Active Directory与几个域控制器,所有与DNS。 这分布在三个地点,与站点到站点VPN相互连接。 所有的计算机和服务器都在同一个域中。
我的问题是,我只从其他站点(在不同的子网上)访问DNS服务器时得到部分结果。
DC在同一站点(子网)上的示例:
> serverfault.com Server: ad03.mycompany.local Address: 10.40.49.50 Non-authoritative answer: Name: serverfault.com Address: 69.59.196.212 > devapps.mycompany.local Server: ad03.mycompany.local Address: 10.40.49.50 Name: devapps.mycompany.local Address: 10.101.30.152 来自与DC不同的站点(子网)的示例:
> serverfault.com Server: ad03.mycompany.local Address: 10.40.49.50 Non-authoritative answer: Name: serverfault.com Address: 69.59.196.212 > devapps.mycompany.local Server: ad03.mycompany.local Address: 10.40.49.50 *** ad03.mycompany.local can't find devapps.mycompany.local: Non-existent domain
正如所看到的,对公有(转发)地址的DNS查找可以从任何地方进行,而本地(活动目录)地址只能从本地子网(不通过VPN)工作。
为什么会这样呢? 这是Windows 2008 R2的安全function吗? 我认为防火墙不是问题,因为两个查询都通过同一个通道。
编辑:我现在已经启用debugging日志约翰Röthlisbergerbuild议,我已经certificate, 我的包实际上没有到达服务器 。 似乎VPN设置某处redirect我的DNS包到不同的服务器,即我的服务器不是这个问题的原因。
响应“无法finddevapps.mycompany.local:不存在的域”表明您正在与DNS服务器正确通话,因此它似乎不是networking或防火墙问题。 在DNS服务器上启用debugging日志logging,以更好地了解发生了什么事情。