AUser0, это не домены, это контроллеры домена.
Ну и я с линукса проверяю.
В общем я свою проблему решил - отключил на линуксом сервере dnssec и он стал форвардить виндовую зону.
Но странно что КД не отвечают dig с разных машин. А с некоторых отвечают.
alexalexes, Caution: Request is not finished yet!
Нажал еще раз обновить и появилось еще вот это:
Connection start:
Stalled 5.36ms
Initial connection 17.2 hours
Там нет сертификата, ошибка бы вылезла по https. А так просто очень долго крутится а потом перестает. Конкретно пример с апачем выдает Пользователю «unknown user@192.168.2.21» доступ запрещён.
И в логах апача запрос авторизации. Только хром этот запрос не показывает. А коммутаторы ничего не показывают. Крутят, крутят и перестают.
AUser0, да, вы правы, после увеличения лимитов ошибки пропали.
Вынесете ваш коммент с tcpdump в отдельный ответ чтобы я отметил? Или просто верхний ваш поставить решением?
AUser0, может до него не дошло. Вот в iptables обнаружил:
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
Кажется, низковаты лимиты. Не могло ли это повлиять?
С другой стороны, судя по датам изменения, устанавливались они 3 года назад. Работало же все до последнего времени.
И в логах апача ничего в это время нет. Ни ошибок, ни соединений. За 5 минут до этого времени есть, и через 2 минуты после. А в момент ошибки подключения - тишина.
Я не знаток tcpdump. К вашему фильтру я добавил and (src src_ip or dst src_ip)' чтобы отфильтровать только свои запросы. Еще перевел все в файл > tcp.dump
После чего нажал обновить страницу и дождался окошка с Хмм. Нам не удаётся найти этот сайт.
Поймать то поймал, теперь бы интерпретировать. Вот вывод tcpdump с момента нажатия обновить в браузере и до момента Хмм. Нам не удаётся найти этот сайт. Получается апач не отвечает?
Drno, пинг отличный, ссш работает идеально. Только в браузере проблема. Причем и по днс имени и по ip.
Опубликовал голую хтмл страницу чтобы дергать по адресу отдельно от сайта - все те же самые проблемы.
Ну и я с линукса проверяю.
В общем я свою проблему решил - отключил на линуксом сервере dnssec и он стал форвардить виндовую зону.
Но странно что КД не отвечают dig с разных машин. А с некоторых отвечают.