Почему ошибки 4004 и 4015 по DNS при настройке NAT на Windows Server 2012 R2?

Question

[meleh_krem]

Здравствуйте, коллеги!

Никогда раньше не занимался администрированием серверов, поэтому прошу помощи у сообщества. У меня возникла проблема с настройкой NAT на Windows Server 2012 R2.

Исходные данные:

Установлен AD DC, DNS и DHCP.
Две сетевые карты:
Внешняя: 10.152.29.20 (интернет)
Внутренняя: 192.168.11.2 (локальная сеть для ПК в домене)
Все компьютеры успешно вводятся в домен, политики применяются, и все вроде работает.

Задача:

Раздавать интернет для ПК в домене через внешний интерфейс (10.152.29.20).
Проблема:

Как только настраиваю NAT на сервере, начинают появляться ошибки по DNS: 4004 и 4015.
До включения NAT ошибок нет, все работает стабильно.
Как только отключаю NAT, ошибки исчезают.
Вопросы:

Что именно надо исправить в маршрутизации?
Допустимо ли в принципе настраивать NAT на сервере, где установлены AD DC, DNS и DHCP?
Может быть, NAT нужно настраивать в другом месте? Если да, то где именно?

Заранее благодарен за любую помощь и советы!

ipconfig /all

PS C:\Users\Администратор> ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : SERV
Основной DNS-суффикс . . . . . . : spk.dpo
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : spk.dpo

Ethernet adapter local:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) I210 Gigabit Network Connection #2
Физический адрес. . . . . . . . . : 38-D5-47-75-74-EF
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.11.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.11.2
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter inet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) I210 Gigabit Network Connection
Физический адрес. . . . . . . . . : 38-D5-47-75-74-F0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.152.29.20(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.152.29.1
DNS-серверы. . . . . . . . . . . : 192.168.11.2
NetBios через TCP/IP. . . . . . . . : Включен

route print на сервере

PS C:\Users\Администратор> route print
===========================================================================
Список интерфейсов
13...38 d5 47 75 74 ef ......Intel(R) I210 Gigabit Network Connection #2
12...38 d5 47 75 74 f0 ......Intel(R) I210 Gigabit Network Connection
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.152.29.1 10.152.29.20 266
10.182.59.0 255.255.255.0 On-link 10.152.29.20 266
10.152.29.20 255.255.255.255 On-link 10.152.29.20 266
10.182.59.255 255.255.255.255 On-link 10.152.29.20 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.11.0 255.255.255.0 On-link 192.168.11.2 266
192.168.11.2 255.255.255.255 On-link 192.168.11.2 266
192.168.11.255 255.255.255.255 On-link 192.168.11.2 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.152.29.20 266
224.0.0.0 240.0.0.0 On-link 192.168.11.2 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.152.29.20 266
255.255.255.255 255.255.255.255 On-link 192.168.11.2 266
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 10.152.29.1 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

С уважением,

Comments

[SunTechnik]

Вот не стал бы я выставлять в интернет контроллер домена и соответственно настраивать на нем Nat.

В зависимости от размера сети и задач:
Поставить аппаратный роутер. В нем уже будет Nat.
На любом Linux собрать роутер с Nat.

Answer 1

[Valentin Barbolin]

Допустимо ли в принципе настраивать NAT на сервере, где установлены AD DC, DNS и DHCP?

Не допустимо даже иметь два сетевый интерфейса на контроллере домена, особенно если один из интерфейсов будет не доступен в пределах локальной сети. Просто вдумайся что ты сделал, у тебя тачка введенная в домен будет делать DNS запрос на доменные ресурсы и в ответ получать внешний адрес (да, не всегда внешний, но ты не может это контролировать) который ей не доступен или не будет отвечать, что в свою очередь приведет замедление и лагам на всех ПК в домене.

Если это железный сервер, поставь на него ProxMox и уже на нем сделай вирталками AD и маршрутизатор. Но как показывает практика, маршрутизатор лушче железный.

Comments

[Ziptar]

у тебя тачка введенная в домен будет делать DNS запрос на доменные ресурсы и в ответ получать внешний адрес (да, не всегда внешний, но ты не может это контролировать)

Вообще можно, ток лишний геморрой

[Valentin Barbolin]

Ziptar,

Вообще можно, ток лишний геморрой

Можно. Чисто в данном случае правельнее сказать нельзя) Судя из вопроса, человек врятли обладает пониманием работы домена и дебагом ошибок при такой схеме.

[MVV]

Valentin Barbolin , пожалуйста, не разводите тут синдром Даннинга-Крюгера.

у тебя тачка введенная в домен будет делать DNS запрос на доменные ресурсы и в ответ получать внешний адрес (да, не всегда внешний, но ты не может это контролировать)

Это вполне можно конттролировать если запретить регистрацию IP внешнего интерфейса в DNS.
Понимания особого там не требуется: достаточно настроить по инструкции от MS и убедиться, что внешний адрес в DNS отсутствует и больше не появляется при перерегистрации (для бысторой проверки: nltest /dsregdns + перезапуск сервиса DNS)

Answer 2

[MVV]

Вам нужно отключить регистрацию в DNS IP внешнего интерфейса. Как это сделать - см. инструкцию от Microsoft.
Но если есть возможность убрать шлюз NAT с контроллера домена - а аппаратные маршрутизаторы SOHO-класса, которые могут работать таким шлюзом, сейчас очень недороги - лучше уберите: чем меньше дополнительных функций выполняет сервер контроллера домена - тем вам будет проще жить.