Возникла проблема, когда клиент Windows 10, подключенный к домену через DirectAccess, не обновляет клиентские записи DNS на сервере имен домена. Вместо этого, похоже, он пытается обновить общедоступную инфраструктуру DNS.
Когда я запускаю ipconfig / registerdns, в средстве просмотра событий я получаю следующее:
The system failed to register host (A or AAAA) resource records for network adapter
with settings:
Adapter Name : {1D45B42E-3DE0-40FF-9306-C6017F422CD3}
Host Name : D8058
Primary Domain Suffix : ad.isg.global
DNS server list :
1.0.0.1, 1.1.1.1, 2606:4700:4700::1111, 2606:4700:4700::1001
Sent update to server : <?>
IP Address(es) :
2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:cbac, 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:cbac, 172.16.100.72
Either the DNS server does not support the DNS dynamic update protocol or the authoritative zone for the specified DNS domain name does not accept dynamic updates.
To register the DNS host (A or AAAA) resource records using the specific DNS domain name and IP addresses for this adapter, contact your DNS server or network systems administrator.
Обратите внимание, что адрес 2801 - это IPv6-адрес компьютера в локальной сети клиента (общедоступная маршрутизация), а 172.16.100.72 - это IPv4-адрес в локальной сети. 1.1.1.1 и 1.0.0.1 - это DNS-серверы, предоставляемые DHCP-сервером клиентского маршрутизатора.
Другими словами, похоже, что он пытается обновить запись в общедоступной инфраструктуре DNS, а не на DNS-сервере домена. Я подтвердил в Wireshark, что он пытается отправить запросы на обновление 1.1.1.1.
Однако разрешение DNS для сетевых серверов работает нормально:
> ping dc01
Pinging dc01.redacted.network [fda4:9e55:xxxx:xxxx::xxxx:300a] with 32 bytes of data:
Reply from fda4:9e55:xxxx:xxxx::xxxx:300a: time=21ms
Reply from fda4:9e55:xxxx:xxxx::xxxx:300a: time=11ms
> ipconfig
Windows IP Configuration
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
IPv6 Address. . . . . . . . . . . : 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:cbac
IPv6 Address. . . . . . . . . . . : 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:cbac
Temporary IPv6 Address. . . . . . : 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:8e46
Temporary IPv6 Address. . . . . . : 2a01:4b00:xxxx:xxxx:xxxx:xxxx:xxxx:8e46
Link-local IPv6 Address . . . . . : fe80::4186:420e:3109:cbac%3
IPv4 Address. . . . . . . . . . . : 172.16.100.72
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::7a8a:20ff:fe41:a8bf%3
172.16.100.1
Tunnel adapter Microsoft IP-HTTPS Platform Interface:
Connection-specific DNS Suffix . :
IPv6 Address. . . . . . . . . . . : fda4:9e55:xxxx:xxxx:xxxx:xxxx:xxxx:ca42
Temporary IPv6 Address. . . . . . : fda4:9e55:xxxx:xxxx:xxxx:xxxx:xxxx:f3e1
Link-local IPv6 Address . . . . . : fe80::145a:43a2:73ff:ca42%5
Default Gateway . . . . . . . . . :
> Get-DnsClientNrptPolicy
Namespace : .redacted.network
QueryPolicy :
SecureNameQueryFallback :
DirectAccessIPsecCARestriction :
DirectAccessProxyName :
DirectAccessDnsServers : fda4:9e55:xxxx:xxxx::1
DirectAccessEnabled :
DirectAccessProxyType : NoProxy
DirectAccessQueryIPsecEncryption :
DirectAccessQueryIPsecRequired : False
NameServers :
DnsSecIPsecCARestriction :
DnsSecQueryIPsecEncryption :
DnsSecQueryIPsecRequired : False
DnsSecValidationRequired : False
NameEncoding : Utf8WithoutMapping
Namespace : DirectAccess-NLS.redacted.network
QueryPolicy :
SecureNameQueryFallback :
DirectAccessIPsecCARestriction :
DirectAccessProxyName :
DirectAccessDnsServers :
DirectAccessEnabled :
DirectAccessProxyType : UseDefault
DirectAccessQueryIPsecEncryption :
DirectAccessQueryIPsecRequired : False
NameServers :
DnsSecIPsecCARestriction :
DnsSecQueryIPsecEncryption :
DnsSecQueryIPsecRequired : False
DnsSecValidationRequired : False
NameEncoding : Utf8WithoutMapping
Обновления клиентских DNS-записей работают нормально на других клиентах DirectAccess. Единственное различие, о котором я знаю, заключается в том, что эта сеть имеет собственный IPv6-адрес, но это может быть отвлекающим маневром.