Почему dns server windows отвечает на запросы только с некоторых ip внутри сети?

Question

[Николай Савельев]

Что-то странное заметил внутри сети. Пробовал командой dig @192.168.2.4 ad2.dom.local дергать контроллер домена - он отвечает только с некоторых ip.
; ANSWER SECTION:
ad2.dom.local. 3600 IN A 192.168.2.4

С других вот:
; QUESTION SECTION:
;ad.dom.local. IN A

;; Query time: 1 msec
;; SERVER: 192.168.2.4#53(192.168.2.4)
;; WHEN: Пт мар 14 13:17:19 +07 2025
;; MSG SIZE rcvd: 60

С чем может быть связано?

Comments

[AUser0]

А ничего, что домены в запросах - разные, ad.dom.local и ad2.dom.local?

И странно, родной клиент Windows - nslookup же, не dig.

[Николай Савельев]

AUser0, это не домены, это контроллеры домена.
Ну и я с линукса проверяю.
В общем я свою проблему решил - отключил на линуксом сервере dnssec и он стал форвардить виндовую зону.
Но странно что КД не отвечают dig с разных машин. А с некоторых отвечают.

[Антон Весельчак]

Николай Савельев, Да, поведение, когда DNS-сервер Windows (особенно если это контроллер домена) отвечает не всем клиентам одинаково, может быть связано с несколькими вещами. Раз ты уже отключил DNSSEC и это помогло — это уже большой шаг, но давай разберёмся подробнее, почему dig может работать по-разному с разных машин.

Проверь, с каких IP всё-таки отвечает, а с каких нет.
На тех машинах, где запросы проходят, и где не проходят — выполни:

dig @192.168.2.4 ad2.dom.local +norecurse
и сравни, есть ли разница в ответах. Это нужно, чтобы исключить кэширование, пересылки и попытки рекурсии.

Сделай это и отпиши: с каких IP не работает, и какой точный вывод dig.