У нас есть три контроллера домена Windows (смесь 2012 R2 и 2008 R2), все DNS-серверы. Сценарий с разделением зон DNS.
Разрешение DNS работает для всех внутренних подсетей, кроме пользовательской VPN. Кажется, что все сетевые подключения не запрещены.
Пользователи, подключенные к Cisco AnyConnect IOS SSL VPN, не могут разрешать запросы DNS с выходом в Интернет. Запросы к интегрированным зонам AD возвращают правильные ответы.
Вывод NSLOOKUP с рабочего хоста в пределах сети:
> set type=a
> 4.2.2.6
Server: dc1.domain.com
Address: 192.168.0.1
------------
SendRequest(), len 38
HEADER:
opcode = QUERY, id = 7, rcode = NOERROR
header flags: query, want recursion
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
6.2.2.4.in-addr.arpa, type = PTR, class = IN
------------
------------
Got answer (98 bytes):
HEADER:
opcode = QUERY, id = 7, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 2, authority records = 0, additional = 0
QUESTIONS:
6.2.2.4.in-addr.arpa, type = PTR, class = IN
ANSWERS:
-> 6.2.2.4.in-addr.arpa
type = PTR, class = IN, dlen = 24
name = f.resolvers.level3.net
ttl = 74506 (20 hours 41 mins 46 secs)
-> 6.2.2.4.in-addr.arpa
type = PTR, class = IN, dlen = 12
name = resolver8.level3.net
ttl = 74506 (20 hours 41 mins 46 secs)
------------
Name: f.resolvers.level3.net
Address: 4.2.2.6
Вывод NSLOOKUP от хоста, подключенного к VPN:
> set type=a
> 4.2.2.6
Server: [192.168.0.1]
Address: 192.168.0.1
------------
SendRequest(), len 38
HEADER:
opcode = QUERY, id = 7, rcode = NOERROR
header flags: query, want recursion
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
6.2.2.4.in-addr.arpa, type = PTR, class = IN
------------
------------
Got answer (38 bytes):
HEADER:
opcode = QUERY, id = 7, rcode = NXDOMAIN
header flags: response, want recursion
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
6.2.2.4.in-addr.arpa, type = PTR, class = IN
------------
*** [192.168.0.1] can't find 4.2.2.6: Non-existent domain
Ноты:
Мы будем очень благодарны за любую помощь в этом вопросе.