Проблема с разрешением имени домена на одном из сайтов AD. Куда копать?
Здравствуйте, уважаемые.
Чесговоря даже не знаю как проблему сформулировать, даже чтоб хотя бы погуглить, все какой-то мусор в результатах выходит не по теме, потому поспрошаю у живых людей
Проблема в следующем: есть сеть предприятия с AD, домен называется central.local
Есть несколько филиалов, которые в AD указаны как отдельные сайты, связь по VPN, подсети разные. В каждом филиале свой контроллер домена. По ip сети связаны без особой фильтрации, трафик ходит свободно, в том числе и между контроллерами домена
Адреса контроллеров домена (они же DNS сервера) и их имена приведу как есть, чтоб понятно было о чем речь.
Все контроллеры домена на Win2008R2, если это важно. Устанавливались с одного дистрибутива, ключи только разные.
Далее речь пойдет о последнем. Недавно добавили новый филиал (сайт NK) и начались проблемы.
На контроллере домена (DCNK) все нормально, команда "ping central.local" сразу и четко возвращает адрес 192.168.15.100
На рабочих станциях все хуже:
В результате "ping central.local" сначала думает пару секунд, потом выдает любой из IP адресов контроллеров по всем сайтам. Причем что характерно, по определенному списку, постепенно ротируя его на 1 позицию. И так по кругу.
Nslookup выдает интересный результат:
С контроллера домена это выглядит вот так:
C:\Users\admin>nslookup
╤хЁтхЁ яю єьюыўрэш■: pdc.central.local
Address: 192.168.28.2
То есть видно, что с каждой итерацией первым постоянно выкидывается "местный" DNS сервер, который и обрабатывает запрос, а резервные ниже него ходят по кругу постепенно прокручиваясь вверх. Точно такая же ситуация и на серверах и рабочих машинах на других сайтах и это нормально. В результате все летает и ничего не тормозит.
Но вот что творится на рабочих машинах на сайте NK
То есть видно, что местный DNS ни разу не в приоритете и "ходит по кругу" вместе с остальными. В минусах такой работы соответственно долгий логин как минимум и прочие прелести с отлетом прав ну или как минимум не мгновенным их применением.
Все настройки перерыл - все красиво вроде с виду, тесты DNS гонял - тоже не ругается ни на что. Что характерно, если в настройках DNS для сетевого адаптера клиента оставить только 192.168.15.100 все равно вот такая свистопляска возникает.
Еще одна интересная особенность, такой "хоровод" не наблюдается у машин, которые не в домене, а также линухов и маков. Также он не наблюдается еще на одном сервере, который стоит на той же винде 2008, что и контроллер домена
подскажите, умные люди, куда копать, что рыть?
Заранее спасибо за любые идеи
PS
Контроллер доменя буквально вчера убивал вместе с ролями DNS и ставил по-новой. Результат тот же, не помогло.
1. Round-Robin в DNS это нормальный стандартный механизм работы.
2. Round-Robin нивелируется в Microsoft DNS с помощью опции Netmask Ordering в настройках DNS сервера. Возможно она выключена на новом сервере. Либо подсети неправильно расположены для ее работы на клиентах.
3. Логин не связан напрямую с работой DNS, хотя и использует ее, рабочие станции выбирают домашний контроллер домена с помощью функции DC Locator, вам стоит почитать как она работает.
