O computador do domínio não pode resolver nomes de host internos, mas o nslookup pode

15

Eu tenho um computador com Windows 7 no meu domínio que está se comportando de maneira estranha.

  • É possível executar ping em www.google.com
  • Ele pode executar ping em hosts internos usando seu endereço IP
  • Ele pode executar ping no servidor local do Controlador de Domínio / DNS para esse escritório usando seu nome de host e endereço IP
  • Ele não pode executar ping em outros hosts internos pelo nome do host ou pelo FQDN
  • O cliente não se registrou no DNS
  • nslookup pode resolver nomes de host internos para seus endereços IP corretos e usa o servidor DNS correto
  • O cliente obtém suas configurações de IP via DHCP da mesma forma que os outros clientes - possui um endereço na sub-rede correta, os servidores DNS corretos aplicados e o sufixo correto adicionado para resolver nomes de host
  • A conexão de rede da Conexão local mostra um nome SSID que foi usado anteriormente no espaço que seria usado para mostrar o nome do domínio ou o status do WiFi - veja a imagemrotulagem de conexão de área local ímpar

Estou realmente confuso sobre o porquê disso estar acontecendo. Como a resolução interna do DNS não está ocorrendo, o computador não consegue se comunicar adequadamente com o domínio; portanto, a Diretiva de Grupo não pode ser aplicada e duvido que a autenticação esteja funcionando corretamente.

Tentei limpar o cache DNS com ipconfig /flushdns, desativar / reiniciar o cache com netsh stop dnscache. Reiniciei o Winsock e a pilha de IPs e reiniciei várias vezes sem diferença. Outros clientes na mesma rede estão funcionando bem.

A solução atual é colocar entradas no arquivo hosts para os hosts mais importantes dos serviços que o usuário possa precisar usar. Isso funcionou bem, mas não é realmente sustentável a longo prazo e não trata da comunicação com o Active Directory.

Alguma idéia de como consertar isso antes de reconstruir a coisa?

Atualização Instalei o Wireshark no computador afetado. Quando nslookup domain.localvejo, todo o tráfego DNS conforme o esperado. Quando o vejo, ping domain.localnão vejo nenhum tráfego DNS - nenhuma solicitação e nenhuma resposta. Quando ping www.google.comvejo a solicitação e a resposta do DNS.

Além disso, este é um laptop com LAN com fio e sem fio. Recebo exatamente o mesmo problema quando conectado via LAN com fio ou Wi-Fi à rede interna.

Uma coisa estranha que notei é que, sob o nome da conexão de rede (rede local), em vez de exibir o nome de domínio como eu esperava, mas o nome de uma VLAN que usamos. Hesito em remover o computador do domínio, caso não consiga ingressar novamente. Prefiro tentar outras coisas antes de seguir uma rota que pode envolver a reinstalação do Windows.

Atualizar isso parece relevante

Atualização Eu tentei netsh winsock reset catalog, netsh int ip resete sfc scannownenhum dos quais corrigiu o comportamento. O computador não pode sair e ingressar novamente no domínio, pois não pode se comunicar com um controlador de domínio. ifconfig /registerdnstambém não funciona pelo mesmo motivo. Eu também tentei parar o serviço de cliente DNS sem sucesso.

domain-name-system  active-directory  windows-7 
dunxd
fonte
Depende de quanto tempo você tem disponível, mas eu ficaria curioso para saber o que uma captura de pacote revelaria.
Mike B
A "Lista de pesquisa de sufixos de DNS" retornou com a ipconfig /allaparência esperada?
Evan Anderson
1
Como o nslookup está funcionando bem, mas não há pesquisa quando você executa ping no nome do domínio. Pode haver algo (um erro de digitação, caractere de espaço não autorizado) no arquivo hosts que está causando o retorno de um resultado inválido para domain.local?
Mike1980
4
No final, o tempo acabou para a investigação, e eu tive que tomar a ação drástica de reconstruir os laptops afetados. Agora, o Bith está funcionando bem, obtendo as configurações do DHCP, como estavam antes, e nenhuma alteração na configuração da rede ou no DNS. Ainda coçando minha cabeça, mas no final passei mais tempo investigando do que era necessário para recriar novamente os dois laptops e restaurar os dados do usuário em backup. Às vezes, a melhor maneira de atender seus usuários é apenas fazer o trabalho, mesmo que não seja de maneira intelectualmente satisfatória.
dunxd
1
nslookupe pingresolva nomes de maneira diferente. Existe uma boa lista disponível aqui blogs.msdn.com/b/nitinsingh/archive/2013/06/24/… Talvez você tenha algo tão simples quanto o NetBIOS sobre TCP / IP desativado para o host específico?
JPE

Respostas:

3

TLDR;
1. hostsarquivo substitui DNS.
2. Redefinir, atualizar, redefinir.
3. Faça backup dos dados, formate e reinstale

Isso pode ser causado por uma entrada incorreta no hostsarquivo localizado aqui:

C:\Windows\System32\drivers\etc\hosts

Verifique se você não tem uma entrada na hostssubstituição do arquivodomain.local

nslookup domain.localverificará o servidor DNS em busca de um endereço associado a domain.local - no entanto, se você tiver uma entrada no diretório hostsfor domain.local, ping domain.localusaria esse endereço e não o endereço DNS.

Também pode valer a pena redefinir algumas coisas :

Redefina as entradas WINSOCK para os padrões de instalação: netsh winsock reset catalog
Redefina a pilha TCP / IP para os padrões de instalação: netsh int ip reset reset.log
Limpe o cache do resolvedor DNS: ipconfig /flushdns
Renove o registro do cliente DNS e atualize as concessões do DHCP: ipconfig /registerdns
Limpe a tabela de roteamento: route /f(reinicialização necessária)
Verifique se há arquivos de sistema corrompidos: sfc /scannow

Além disso, se esta é realmente a mesma máquina da edição original que você postou em novembro de 2014 , também pode valer a pena o tempo e o esforço para apenas formatar o disco rígido e reinstalar o sistema operacional . Isso o levará de volta a um estado conhecido que deve funcionar.

Tim Penner
fonte
Irritantemente isso continua surgindo em computadores diferentes. Estou procurando algo mais sustentável do que uma reconstrução toda vez que isso acontece. Eu eliminei as entradas do arquivo host e outras sugestões que já foram feitas. Daí a segunda recompensa.
dunxd
1

Esta questão é exatamente o que eu tinha. Acontece que meu certificado de https://nls.my.domain.com para conectividade do DirectAccess foi revertido. Portanto, meus clientes usaram a NRPT (Name Resolution Policy Table) de dentro da minha LAN e bloquear todas as conexões com recursos internos.

Só queria compartilhar essas informações, pois pode ser o mesmo para alguns de vocês.

xBunne
fonte
Interessante - se eu voltar a ver isso, saberei para onde procurar. O certificado não tinha expirado (o Direct Access estava funcionando para centenas de outros computadores), mas o NRPT vale a pena conferir na próxima vez.
dunxd
Se o servidor de localização da rede estiver inacessível pelo cliente, mas eles estiverem na rede, o Acesso Direto poderá ser iniciado e isso causará problemas. Obrigado!
dunxd
1

Eu tive o mesmo problema.

Descobri que a implementação co-proporcional do Microsoft DirectAccess Connectivity era o motivo.

Clique com o botão direito do mouse no ícone da barra de tarefas e escolha "Usar resolução DNS local" e, em seguida, executei um gpupdate e meus problemas foram resolvidos.

Se esse não é o seu problema, é provável que a natureza de um software de conectividade auxiliar (existem muitos) seja defeituosa.

Cumprimentos

Keiko

Keiko
fonte
Obrigado. Também usamos o Acesso Direto - investigarei isso na próxima vez que surgir!
dunxd
1

Eu tive um problema muito semelhante com o meu laptop na rede do domínio. Não consegui conectar-me ao domínio, mas consegui executar ping e trabalhar com outros dispositivos usando endereços IP (os nomes de host eram proibidos). Editar o arquivo hosts era uma solução temporária, mas fazer isso para todos os dispositivos de rede e não conseguir / gpupdate foi meio frustrante.

No final, meu problema (e minha situação, pode não ser aplicável à sua) foi resolvido por este blog em particular: http://setspn.blogspot.nl/2015/05/corrupt-local-gpo-files.html

  • Renomeie (ou exclua) C: \ Windows \ System32 \ GroupPolicy \ Machine \ Registry.pol
  • Iniciar> executar> cmd (como administrador)
  • Gpedit.msc
  • Os modelos administrativos abaixo alteram uma configuração (não importa qual) e depois a revertem. Isso acionará a criação de um novo arquivo registry.pol
  • gpupdate / force
  • Gpo's devem processar corretamente agora.

O problema está na falha do Registry.pol, ao gerar um novo, o meu problema foi corrigido e eu pude atualizar o gpupdate! Espero que isso ajude as pessoas a solucionar problemas. Verifique se você removeu todas as entradas manuais no arquivo hosts.

FikkieHo
fonte
1

TL; DR; - Verifique se o DHCP da sua rede também está publicando o IPv6, se você também colocar o endereço IPv6 do DNS - pois isso tem precedência sobre as configurações estáticas do IPv4 no Windows 10.

Ontem, encontrei esse problema e queria compartilhar outro possível problema e solução.

Eu estava reconfigurando a rede e conectado a um roteador mais recente. Corri para o mesmo problema - todos os meus sistemas existentes não conseguiam mais acessar o AD usando mydomain.local - funcionava bem antes.

Vasculhando a Internet, tentei algumas coisas diferentes - o DNS estava funcionando bem. Quando eu fazia a pesquisa, gerava um erro, dizendo inexistente - mas quando eu corria

nslookup mydomain.local {LOCAL-DNSSERVER-IP} isso resolveria.

O problema foi resolvido: vi a resolução, mas perdi o retorno do endereço IPv6 também ao fazê-lo.

Por padrão, o novo roteador estava publicando seu próprio endereço DNS IPv6 (herdado do modem) que, apesar de eu ter um DNS estático atribuído ao IPv4, estava usando o IPv6 que iria ao pub-internet para resolver, portanto, não existe.

Peguei o endereço IPv6 dos Servidores de Controlador de Domínio e adicionei aos roteadores DHCP para DNS IPv6 e resolução de voz!

Brian B.
fonte
0

Quando você executa, ipconfig /allqual é o tipo de nó? Parece muito que você tem o tipo de nó errado e possivelmente nenhum servidor WINS na sua rede, uma situação semelhante ao que aconteceu com essa pessoa .

dialt0ne
fonte
Sua resposta é mais uma série de perguntas do que uma resposta. Embora eu concorde, o problema pode ser o NodeType. Howerver que é um desconhecido sem mais informações de @dunxd
Signal15
1
Enquanto fazia uma pergunta, vinculei-me a uma solução e documentação sobre o que suspeito ser o problema. Uma resposta imperfeita a uma pergunta imperfeita (não forneceu informações de configuração chave suficientes).
dialt0ne
Você recebe a recompensa. Pode não ter resolvido o problema (não sei agora, pois precisava tomar medidas drásticas), mas você colocou algo como resposta e forneceu links para material útil - eu não sabia sobre o tipo de nó antes e agora sim, então obrigada.
dunxd
Você tem um servidor WINS no domínio? O DHCP está distribuindo IPs do servidor WINS sem que o servidor WINS esteja presente? O tipo de nó está definido corretamente em outros nós? Você tem uma caixa de teste na qual pode tentar recriar o problema alterando o tipo de nó para experimentar? No interesse da ciência, é claro ...
dialt0ne
0

Eu tive o mesmo problema e foi capaz de resolver isso sem reconstruir o pc.

  1. Propriedades abertas do adaptador de rede
  2. Propriedades selecionadas "Protocolo da Internet versão 4 (TCP / IPv4)"
  3. Clicou no botão Avançado na guia Geral
  4. Selecionou a guia WINS
  5. Na configuração NetBIOS, a seleção Padrão tem a seguinte descrição: "Usar configuração NetBIOS no servidor DHCP. Se um endereço IP estático for usado ou o servidor DHCP não fornecer configuração NetBIOS, ative o NetBIOS sobre TCP / IP".
  6. Alterei a configuração para "Ativar NetBIOS sobre TCP / IP e recebi respostas ao executar ping no FDQN!
Dan B
fonte
Eu vou tentar isso. Tentei desativar o NetBIOS e ele não resolveu o problema.
dunxd
0

Isso pode ser óbvio. Verifique se há sufixos DNS aplicados manualmente em 3 locais, 1 nas propriedades do sistema e 2 na guia DNS TCP / IP da rede (cada). Em um mundo perfeito, o seu deve se parecer com o meu.

Também pode ser útil investigar secpol.msc> Políticas do Network List Manager para determinar as configurações do 'Local' que está sendo detectado

Além disso, você menciona que ele não está se registrando no DNS mesmo após o ipconfig / registerdns. Verifique o log do sistema para o erro e poste aqui.

Também vi uma situação em que o PING acrescenta sufixo DNS extra automaticamente. Para testar, tente seus pings com um final. (ping domain.local.)

/superuser/93055/windows-using-the-dns-suffix-search-list-on-all-lookups-even-valid-fqdns-how-t

Sufixo do computador Conexão específica

goofology
fonte
Vale a pena conferir a lista de redes e o reconhecimento de local de rede - obrigado!
dunxd
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.