Назад | Перейти на главную страницу

Windows 10 обновляет неправильный DNS-сервер при использовании DirectAccess

Возникла проблема, когда клиент Windows 10, подключенный к домену через DirectAccess, не обновляет клиентские записи DNS на сервере имен домена. Вместо этого, похоже, он пытается обновить общедоступную инфраструктуру DNS.

Когда я запускаю ipconfig / registerdns, в средстве просмотра событий я получаю следующее:

The system failed to register host (A or AAAA) resource records for network adapter
with settings:

           Adapter Name : {1D45B42E-3DE0-40FF-9306-C6017F422CD3}
           Host Name : D8058
           Primary Domain Suffix : ad.isg.global
           DNS server list :
                 1.0.0.1, 1.1.1.1, 2606:4700:4700::1111, 2606:4700:4700::1001
           Sent update to server : <?>
           IP Address(es) :
             2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:cbac, 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:cbac, 172.16.100.72

Either the DNS server does not support the DNS dynamic update protocol or the authoritative zone for the specified DNS domain name does not accept dynamic updates.

To register the DNS host (A or AAAA) resource records using the specific DNS domain name and IP addresses for this adapter, contact your DNS server or network systems administrator.

Обратите внимание, что адрес 2801 - это IPv6-адрес компьютера в локальной сети клиента (общедоступная маршрутизация), а 172.16.100.72 - это IPv4-адрес в локальной сети. 1.1.1.1 и 1.0.0.1 - это DNS-серверы, предоставляемые DHCP-сервером клиентского маршрутизатора.

Другими словами, похоже, что он пытается обновить запись в общедоступной инфраструктуре DNS, а не на DNS-сервере домена. Я подтвердил в Wireshark, что он пытается отправить запросы на обновление 1.1.1.1.

Однако разрешение DNS для сетевых серверов работает нормально:

> ping dc01

Pinging dc01.redacted.network [fda4:9e55:xxxx:xxxx::xxxx:300a] with 32 bytes of data:
Reply from fda4:9e55:xxxx:xxxx::xxxx:300a: time=21ms
Reply from fda4:9e55:xxxx:xxxx::xxxx:300a: time=11ms

> ipconfig

Windows IP Configuration


Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . :
   IPv6 Address. . . . . . . . . . . : 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:cbac
   IPv6 Address. . . . . . . . . . . : 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:cbac
   Temporary IPv6 Address. . . . . . : 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:8e46
   Temporary IPv6 Address. . . . . . : 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:8e46
   Link-local IPv6 Address . . . . . : fe80::4186:420e:3109:cbac%3
   IPv4 Address. . . . . . . . . . . : 172.16.100.72
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : fe80::7a8a:20ff:fe41:a8bf%3
                                       172.16.100.1

Tunnel adapter Microsoft IP-HTTPS Platform Interface:

   Connection-specific DNS Suffix  . :
   IPv6 Address. . . . . . . . . . . : fda4:9e55:xxxx:xxxx:xxxx:xxxx:xxxx:ca42
   Temporary IPv6 Address. . . . . . : fda4:9e55:xxxx:xxxx:xxxx:xxxx:xxxx:f3e1
   Link-local IPv6 Address . . . . . : fe80::145a:43a2:73ff:ca42%5
   Default Gateway . . . . . . . . . :

> Get-DnsClientNrptPolicy

Namespace                        : .redacted.network
QueryPolicy                      :
SecureNameQueryFallback          :
DirectAccessIPsecCARestriction   :
DirectAccessProxyName            :
DirectAccessDnsServers           : fda4:9e55:xxxx:xxxx::1
DirectAccessEnabled              :
DirectAccessProxyType            : NoProxy
DirectAccessQueryIPsecEncryption :
DirectAccessQueryIPsecRequired   : False
NameServers                      :
DnsSecIPsecCARestriction         :
DnsSecQueryIPsecEncryption       :
DnsSecQueryIPsecRequired         : False
DnsSecValidationRequired         : False
NameEncoding                     : Utf8WithoutMapping

Namespace                        : DirectAccess-NLS.redacted.network
QueryPolicy                      :
SecureNameQueryFallback          :
DirectAccessIPsecCARestriction   :
DirectAccessProxyName            :
DirectAccessDnsServers           :
DirectAccessEnabled              :
DirectAccessProxyType            : UseDefault
DirectAccessQueryIPsecEncryption :
DirectAccessQueryIPsecRequired   : False
NameServers                      :
DnsSecIPsecCARestriction         :
DnsSecQueryIPsecEncryption       :
DnsSecQueryIPsecRequired         : False
DnsSecValidationRequired         : False
NameEncoding                     : Utf8WithoutMapping

Обновления клиентских DNS-записей работают нормально на других клиентах DirectAccess. Единственное различие, о котором я знаю, заключается в том, что эта сеть имеет собственный IPv6-адрес, но это может быть отвлекающим маневром.