через некоторое время разрешение имен для виртуальной машины Azure не удается

Я не большой админ, поэтому постараюсь описать проблему по мере ее возникновения.

Я запускаю виртуальную машину в Azure с Windows Server 2019 Datacenter. Он действует как сервер Navision. Он присоединен к нашему домену. Есть только один DC, он служит сервером AD, DHCP и DNS. Связь между DC и NAV-сервером осуществляется через VPN-туннель.

В последнее время пользователи не могут запустить клиентское программное обеспечение NAV из-за ошибки Kerberos. Причина этого в том, что NAV-сервер потерял доверительные отношения домена. В журналах событий NAV-сервера есть ошибки от GP-обновления, говорящие о том, что имя в DC не может быть разрешено.

Поэтому я попытался очистить кеш DNS на NAV-сервере, и это сработало. Однако он работал всего несколько часов.

nltest / query привел к статусу подключения 1311 (ERROR_NO_LOGON_SERVERS).
ping на имя, а также на полное доменное имя контроллера домена, привело к ошибке, что узел не найден
ping на IP ДК работало!
nslookup на DC и на _ldap._tcp.dc._msdcs ... работал!
Кэш в настоящее время не содержит записи для DC, так как он был удален из-за TTL.

Я уже удалил NAV-сервер из домена и снова присоединился без изменений. Единственное, что может исправить это, - это очистка DNS-кеша. После этого аутентификация на DC снова работает нормально, и запускается программное обеспечение NAV-клиента.

Я уменьшил TTL на DC-DNS-сервере до одной минуты для тестирования. После удаления записи DNS из кеша (обычно через 1 минуту) ping к имени DC восстанавливает запись (как я и ожидал).

Без действий на NAV-сервере через несколько часов разрешение имен снова не выполняется.

ОБНОВЛЕНИЕ: я изучил немного глубже и проверил DNS-трафик, отправленный от клиента. Пока все работает, azure-vm отправляет DNS-запрос и получает ответ от DC. Один запрос, один ответ. Как только разрешение имени не удается, поведение выглядит следующим образом.

azure-vm отправляет запрос в DC
azure-vm немедленно отправляет запрос на вторичный DNS-сервер (1.1.1.1) с идентичным QueryId - это нормально?
ответы вторичного DNS-сервера (ошибка имени, конечно, поскольку мой DC не известен 1.1.1.1)
DC отвечает с правильным IP-адресом

Я не предполагал, что DNS-клиент будет работать так, и мне это кажется неправильным.

Проверьте время на всех своих виртуальных машинах. Если они отсутствуют, вы можете столкнуться с подобными проблемами.

Особенно в среде ВМ. Обычно хост предоставляет время клиентам, но довольно часто администраторы могут забыть использовать внешний источник времени в своем PDC, что означает, что время устанавливается по внутренним часам хоста, которые постепенно меняются.