間歇性 DNS 解析問題

在大約 140 台電腦中，有幾台電腦（沒有確定的模式）在啟動期間始終無法解析 AD DS 域名，並且在啟動後間歇性地無法解析 AD DS DNS 名稱。這可以通過重新啟動 Windows 服務DNS Client/dnscache和/或重新啟動 PC 直到它工作來臨時解決。

我的診斷進度：

1. 一旦解決方案到位，兩個域控制器都可以聯繫（以多種方式驗證）並且組策略確實適用，但某些策略需要重新啟動，因此會出現此問題。
2. NIC 的 DNS 配置（伺服器等）正確。
3. 命令nltest /DSQUERYDNS輸出I_NetLogonControl failed: Status = 50 0x32 ERROR_NOT_SUPPORTED。
4. 命令Test-ComputerSecureChannel輸出True。
5. 將網路設備Realtek PCIe GBE Family Controller的設備驅動程序從版本 7.86.508.2014 / 2014/05/08 更新到版本 7.107.323.2017 / 2017/03/23 並沒有什麼不同。
6. \\<%logonServer%>\NETLOGON\是可訪問的。
7. 啟用本地策略Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for the network at computer startup and logon並沒有什麼不同。
8. 重啟期間防火牆不會阻止任何流量。

據我所知，這只是在站點遷移到新的、受限的、VLAN ed 網路後才開始發生的，所以我不禁懷疑 Sophos XG 210 UTM 但這沒有意義，因為它是防火牆- / 路由相關然後我希望這個問題更加一致和廣泛。

 

更新 2017/07/07 16:26

我的診斷進度：

9. 將 Sophos XG 韌體從版本 16.05.3 MR-3 更新到版本 16.05.5 MR-5 並沒有解決問題。
10. 創建了一個網路防火牆規則以允許 LAN 到任何人，使用任何埠/服務的 PC 的 IP 地址到任何人都沒有解決問題。
11. 在 NIC 上禁用 IPv6 並重新啟動並不能解決問題。
12. 執行提升的命令netsh int ip reset reset.log並重新啟動並沒有解決問題。
13. 使用新生成的本地使用者配置文件登錄並不能解決問題。

 

更新 2017/07/12 11:23

我正在使用的測試 PC 上的問題已經改變。啟動後，ping AD 域名和任何伺服器主機名成功解析和傳輸**，但**RSoP 仍然報告電腦端（而非使用者端）組策略基礎架構未能應用，因為The specified domain either does not exist or could not be contacted.

我的診斷進度：

14. 以幾乎完全相同的配置（IP 地址、子網遮罩、預設網關和 DNS 伺服器）靜態重新配置 NIC 設置，而不是動態地，一致地解決了兩台受影響 PC 上的啟動電腦端組策略問題。我將把這個靜態配置保留幾天，看看它是否也解決了間歇性 DNS 解析問題。

 

更新 2017/07/13 13:28

間歇性 DNS 解析問題再次出現

我的診斷進度：

15. 用尾隨.s ping FQDN 並沒有什麼不同。
16. 重新配置 NIC 設置完全相同的配置（IP 地址、子網遮罩、預設網關、DNS 伺服器和特定於連接的 DNS 後綴）靜態地解決了問題，儘管可能是暫時的。
17. 我已經發布了一個 V7 USB3-to-Ethernet 適配器來測試它是否是板載 NIC 和交換機之間的不兼容之類的。明天出結果。

 

2017/08/03 14:51 更新：

經過 10 多個小時的診斷，根本原因似乎是 MAX RemoteManagement 的 / MSP 遠端管理的 RMM 代理（可能是高級監控代理網路管理的子組件），因為我們在 2017 年 7 月 25 日在一些受影響的 PC 上解除安裝了它並且出現了問題從那以後沒有再發生過。

我相當有信心地說這是由 MAX RemoteManagement / MSP Remote Management 的 RMM 代理引起的，因為解除安裝它已經解決了不同位置的不同 PC 上的各種 DNS/網路相關問題。

引用自：https://serverfault.com/questions/858510