DNS в локалке очень медленно разрешает внешние адреса. Как решить проблему с доступом ПК к инету и не потерять доступ к локальным ресурсам?

Question

[Serg67-v]

Добрый вечер. Подняли ДНС в локальной сети на Win Server 2022 Rus. В настройках DHCP задали как DNS адрес нашего сервера (он же DC AD) и ДНС гугла (8.8.8.8). Пк прекрасно видят инет но через раз (или вообще не) видят сеть. Ок изменили настройки, убрали из DHCP 8.8.8.8, добавили этот и еще несколько серверов как сервера пересылки.



Теперь ПК все отлично видят внутри но жутко тормозят с инетом... сайты открываются с 3-4 попытки.

Запустил диагностику, вижу предупреждение, но что не так - не пойму.
Ниже текст диагностики

dcdiag /test:dns /v

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
* Проверка, является ли локальный компьютер OfficeDC01 сервером каталогов.
Основной сервер = OfficeDC01
* Подключение к службе каталога на сервере OfficeDC01.
* Определен лес AD.
Collecting AD specific global data
* Сбор сведений о сайте.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=NewOfficeReplace,DC=ru,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=VOL,CN=Sites,CN=Configuration,DC=NewOfficeReplace,DC=ru
Getting ISTG and options for the site
Looking at base site object: CN=NTDS Site Settings,CN=MOS,CN=Sites,CN=Configuration,DC=NewOfficeReplace,DC=ru
Getting ISTG and options for the site
* Выполнение идентификации всех серверов.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=NewOfficeReplace,DC=ru,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=OfficeDC01,CN=Servers,CN=VOL,CN=Sites,CN=Configuration,DC=NewOfficeReplace,DC=ru
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
Getting information for the server CN=NTDS Settings,CN=MOSWDC01,CN=Servers,CN=MOS,CN=Sites,CN=Configuration,DC=NewOfficeReplace,DC=ru
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Идентификация всех перекрестных ссылок NC.
* Найдено 2 DC (контроллеров домена). Проверка 1 из них.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: MOS\OfficeDC01
Запуск проверки: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
......................... OfficeDC01 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: MOS\OfficeDC01
Проверка пропущена по запросу пользователя: Advertising
Проверка пропущена по запросу пользователя: CheckSecurityError
Проверка пропущена по запросу пользователя: CutoffServers
Проверка пропущена по запросу пользователя: FrsEvent
Проверка пропущена по запросу пользователя: DFSREvent
Проверка пропущена по запросу пользователя: SysVolCheck
Проверка пропущена по запросу пользователя: KccEvent
Проверка пропущена по запросу пользователя: KnowsOfRoleHolders
Проверка пропущена по запросу пользователя: MachineAccount
Проверка пропущена по запросу пользователя: NCSecDesc
Проверка пропущена по запросу пользователя: NetLogons
Проверка пропущена по запросу пользователя: ObjectsReplicated
Проверка пропущена по запросу пользователя: OutboundSecureChannels
Проверка пропущена по запросу пользователя: Replications
Проверка пропущена по запросу пользователя: RidManager
Проверка пропущена по запросу пользователя: Services
Проверка пропущена по запросу пользователя: SystemLog
Проверка пропущена по запросу пользователя: Topology
Проверка пропущена по запросу пользователя: VerifyEnterpriseReferences
Проверка пропущена по запросу пользователя: VerifyReferences
Проверка пропущена по запросу пользователя: VerifyReplicas

Запуск проверки: DNS

Проверки DNS выполняются без зависания. Подождите несколько минут...
See DNS test in enterprise tests section for results
......................... OfficeDC01 - не пройдена проверка DNS

Выполнение проверок разделов на: ForestDnsZones
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок разделов на: Schema
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок разделов на: Configuration
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок разделов на: NewOfficeReplace
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок предприятия на: NewOfficeReplace.ru
Запуск проверки: DNS
Результаты проверки контроллеров домена:

Контроллер домена: OfficeDC01.NewOfficeReplace.ru
Домен: NewOfficeReplace.ru

TEST: Authentication (Auth)
Тест проверки подлинности: завершен успешно

TEST: Basic (Basc)
ОС Майкрософт Windows Server 2022 Standard (Service Pack level: 0.0) поддерживается.
NETLOGON служба запущена.
kdc служба запущена.
DNSCACHE служба запущена.
DNS служба запущена.
DC является DNS-сервером
Сведения о сетевых адаптерах:
Адаптер [00000001] Intel(R) 82574L Gigabit Network Connection:
MAC address is XX:XX:XX:XX:XX:XX7
IP-адрес является статическим
IP address: 10.1.1.11, XXXX::XXXX:XXXX:XXXX:XXXX
DNS-серверы:
10.1.1.11 (OfficeDC01) [Valid]
The A host record(s) for this DC was found
The SOA record for the Active Directory zone was found
Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)
[Error details: 5 (Type: Win32 - Description: Отказано в доступе.)]

Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:

DNS-сервер: 10.1.1.11 (OfficeDC01)
Все проверки для данного DNS-сервера пройдены
Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered

Отчет по результатам проверки DNS:

Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: NewOfficeReplace.ru
OfficeDC01 PASS WARN n/a n/a n/a n/a n/a

......................... NewOfficeReplace.ru - пройдена проверка DNS
Проверка пропущена по запросу пользователя: LocatorCheck
Проверка пропущена по запросу пользователя: Intersite

Comments

[Ziptar]

В forwarders - edit в графе number of seconds before forward queries timeout что указано?

[Serg67-v]

3 секунды

[Ziptar]

Serg67-v,
в любом случае до проверки форвардеров не доходит из-за предупреждения; причин у этого предупреждения может быть вагон и маленькая тележка, так что пихаешь обе строки в гугл и вперёд

[Serg67-v]

Доходит, если пингую по имени с самого днс, через 3-4 секунды получаю разрешенное имя. Порядок перехода у меня сейчас такой
1 сервер пересылки -3 сек, далее дефолтные +5.
Кстати поставил яндекс первым, стал разрешать имена быстрее.

[Ziptar]

Serg67-v, я имею в виду тест dcdiag

Auth Basc Forw Del Dyn RReg Ext
PASS WARN n/a n/a n/a n/a n/a