Solucionar problemas de falhas de resolução de nomes DNS relacionados a encaminhadores DNS

Você tem encaminhadores, encaminhadores condicionais ou dicas de raiz configurados para executar pesquisas de nome para nomes externos. No entanto, você não pode resolver nomes externos de clientes usando nslookup ou Resolve-DnsName. Este artigo apresenta como solucionar problemas de falhas de resolução de nomes relacionadas ao encaminhador DNS (Sistema de Nomes de Domínio).

Análise dos sintomas

1. Verifique se os clientes que não podem resolver os nomes são externos ou internos.
   Se o problema for específico de um domínio interno ou nomes externos, essas informações ajudarão você a examinar a configuração específica do domínio no servidor DNS.

2. Verifique se todos os clientes estão enfrentando o problema ou apenas os específicos.
   Ao fazer isso, você pode ajudar a isolar se o problema é específico de um servidor de encaminhamento DNS.

3. Verifique o servidor DNS.

   • Se a resolução de nomes falhar nos clientes, verifique se a resolução de nomes também falha no servidor DNS preferencial configurado.
   • Verifique se a resolução falha no próprio servidor DNS. Nesse caso, você pode descartar qualquer problema com o cliente ou a rede entre o cliente e o servidor DNS.

   

Solução de problemas de fluxograma

Etapas para solucionar problemas

Etapa 1: Verificar a conectividade de rede entre o cliente e o servidor DNS

1. Verifique a configuração do DNS. Execute ipconfig /all no cliente e confirme se o IP correto do servidor DNS está configurado. Se estiver incorreto, configure-o usando o seguinte comando:

   Set-DnsClientServerAddress -InterfaceAlias "Interface-Name" -ServerAddresses ("IP1")
   

2. Verifique a comunicação da porta UDP 53. Certifique-se de que a comunicação da porta UDP 53 entre o cliente e o servidor DNS seja permitida.

3. Execute um teste de ping do cliente para o servidor DNS e vice-versa para garantir a conectividade básica da rede.

Etapa 2: verificar a configuração do servidor DNS

Siga estas etapas para validar se esse servidor DNS está configurado corretamente para poder resolver os nomes que não são locais para si mesmo.

1. Verifique se um encaminhador condicional está configurado para o domínio em questão:

   Get-DnsServerZone -Name <domainname>
   

2. Se nenhum encaminhador condicional for encontrado, verifique se há encaminhadores gerais configurados:

   Get-DnsServerForwarder
   

   Verifique se Useroothints está definido como TRUE.

3. Se nenhum encaminhador estiver configurado, verifique se há dicas de raiz:

   Get-DnsServerRootHint
   

Se nenhum deles estiver configurado, espera-se que a resolução de nomes falhe. Você precisa continuar a criar um encaminhador condicional se for um domínio interno ou um encaminhador se for para domínios externos (preferencialmente).

Observação

O encaminhador condicional ou os encaminhadores, que são servidores DNS, precisam ter os registros do nome ou precisam ser configurados para resolver o nome.

Etapa 3: verificar o status e a conectividade do serviço DNS

1. Verifique se o serviço do servidor DNS está em execução nos servidores DNS de encaminhamento e encaminhamento:

   Get-Service -Name DNS
   

   Inicie o serviço se ele não estiver em execução:

   Start-Service -Name DNS
   

2. Certifique-se de que a comunicação da porta UDP 53 entre o servidor de encaminhamento DNS e os servidores encaminhadores seja permitida.

Etapa 4: coletar capturas de rede para rastrear pacotes DNS

Antes de fazer uma captura de rede no computador cliente, é sempre recomendável limpar o cache DNS do lado do cliente:

ipconfig /flushdns

Em seguida, colete uma captura de rede usando estas etapas:

1. Inicie uma ferramenta de captura de rede (por exemplo, Wireshark) no cliente, no servidor DNS e no encaminhador.
2. Execute nslookup <name> no cliente para reproduzir a falha.
3. Pare a captura e revise os rastreamentos. Filtre a porta UDP 53 para visualizar o tráfego DNS relevante.

Analise os cenários.

As seções a seguir listam vários cenários que você pode encontrar. Esses cenários envolvem uma configuração de encaminhador condicional, mas as etapas de solução de problemas são as mesmas se você lidar com um encaminhador padrão.

Cenário 1: latência ou tempo limite da rede

O servidor de nomes DNS 192.168.10.10 encaminha a consulta para o primeiro encaminhador 192.168.5.5. Devido à latência de rede ou problemas de rede intermediários, a resposta não chega ao servidor DNS dentro do período ForwarderTimeout . Portanto, o servidor DNS encaminha a consulta para o próximo encaminhador configurado a partir dele, que é 192.168.5.6. Novamente, devido a problemas de latência ou rede intermediária, a resposta não chega ao servidor DNS. Como o servidor DNS não pode buscar a resposta para a consulta nodeA.contoso.com, ele envia uma resposta de "Falha do servidor" ao cliente.

Resolução: colabore com a equipe de rede para lidar com a latência. Se a latência for esperada, verifique se o servidor DNS tem tempo suficiente para aguardar a resposta do encaminhador condicional antes de atingir o tempo limite, aumentando os períodos ForwarderTimeout e RecursionTimeout .

Para fazer isso, consulte NET: DNS: Tempos limite de resolução de encaminhadores e encaminhadores condicionais.

Cenário 2: Consulta recusada pelo encaminhador

O servidor de nomes DNS 192.168.10.10 encaminha a consulta para o encaminhador condicional 192.168.5.5. Nesse servidor, se houver alguma política configurada para recusar ou negar consultas para um determinado registro ou zona, o encaminhador condicional responderá ao servidor de nomes DNS de encaminhamento com uma resposta "Recusado". Agora, o servidor DNS, por sua vez, encaminhará esse erro para o cliente como uma falha do servidor. O servidor DNS não entrará em contato com o segundo encaminhador condicional, pois já recebemos uma resposta do primeiro (mesmo que seja uma resposta de erro)

Resolução: se o encaminhador for um servidor DNS do Microsoft Windows, verifique se há políticas de resolução de consulta DNS configuradas no encaminhador condicional para "negar" as consultas para a zona fab.com ou determinados registros, como NodeA.fab.com. Você pode obter a lista de políticas configuradas com o comando get-dnsserverqueryresolutionpolicy. Para fazer isso, consulte Get-DnsServerQueryResolutionPolicy.

Se essas políticas não precisarem ser colocadas, remova-as para resolver o problema.

Se for um servidor DNS de terceiros, entre em contato com o respectivo fornecedor.

Cenário 3: Registros ausentes no encaminhador

O servidor de nomes DNS 192.168.10.10 encaminha a consulta para o primeiro encaminhador condicional 192.168.5.5. No encaminhador condicional, não há nenhum registro A de host presente para o nome NodeA na fab.com zona. Nesse caso, o encaminhador condicional responde ao servidor DNS com uma resposta "Erro de nome". O servidor DNS encaminhará a mesma resposta ao cliente. O servidor DNS não entrará em contato com o segundo encaminhador condicional aqui, pois já recebemos uma resposta do primeiro. Normalmente, se esse cenário ocorrer, você verá o sintoma de que a resolução falha para determinados nomes, não necessariamente todos os nomes do fab.com domínio.

Resolução: Registre os registros ausentes no encaminhador da zona em questão, estática ou dinamicamente.

Coleta de dados

Se precisar de ajuda do suporte da Microsoft, recomendamos que você colete informações sobre o problema antes de entrar em contato com o suporte da Microsoft.

1. Siga as etapas fornecidas em Introdução ao TSS (conjunto de ferramentas do TroubleShootingScript) para baixar e coletar logs usando a ferramenta TSS.
2. Execute este comando para habilitar a coleta de logs na máquina afetada:

   • Em servidores DNS:

     .\TSS.ps1 -Scenario NET_DNSsrv
     

   • Em clientes DNS:

     .\TSS.ps1 -Scenario NET_DNScli