當一次防火牆壞掉後，DNS無法解析，電腦無法加入網域，DNS有兩個

dns 網域防火牆 ad

c1912matrix 2017-08-02 20:47:30 ‧ 13620 瀏覽

**前情提要: **在某一次，大樓斷電後，公司防火牆(192.168.1.254)壞掉，公司都無法連到外部網路，就添購一台NETGEAR ProSafe™ Gigabit Dual WAN SSL VPN Firewall FVS336Gv3，也不知道為何在設定一直無法順利讓公司內部可連線到網部，直到將在防火牆上開啟DHCP server和DNS Proxy，但原本DHCP和DNS都是在AD server(192.168.1.200)上，所以關閉在AD server的DHCP，但之後要將新進人員電腦加入網域，會出現下列情況:

注意事項: 這個專業資訊是提供給網路系統管理員。如果您不是網路系統管理員，請將這個資訊告訴您的網路系統管理員。這個資訊已經記錄在檔案 C:\Windows\debug\dcdiag.txt 中。

在查詢 DNS 以取得用來尋找網域 "XXXX.com" 之 Active Directory 網域控制站 (AD DC) 的服務位置 (SRV) 資源記錄時，發生下列錯誤:

錯誤是: "DNS 名稱不存在。"
(錯誤碼 0x0000232B RCODE_NAME_ERROR)

這是 _ldap._tcp.dc._msdcs.myet.com 的 SRV 記錄查詢

發生這個錯誤的常見原因包含:

尋找網域的 AD 網域控制站時所需要的 DNS SRV 記錄並未登錄在 DNS 中。當 AD 網域控制站新增到網域時，這些記錄會自動登錄在 DNS 伺服器。AD 網域控制站會在固定的時間間隔更新它們。這部電腦已經設定成使用具有下列 IP 位址的 DNS 伺服器:

192.168.1.254
192.168.1.200

下列一些區域的子區域中並未包含委派:

XXXX.com
com
. (根區域)

嘗試加入網域"XXXX.com"時，發生以下錯誤:

找不到網路路徑。

嘗試加入網域"XXXX.com"時，發生以下錯誤:
嘗試解析將加入之網域中的網域控制站的DNS名稱失敗。請檢查此用戶端的設定是否允許連線到可解析目標網域中之DNS名稱的DNS伺服器。如需關於網路疑難排解的詳細資訊，請參閱Windows說明。

*已經不知道從何查起?知識和功力都太弱了，希望大大們，可以用簡單又明瞭的方式引到我找到問題?
*

hsiang11 iT邦好手 1 級 ‧ 2017-08-03 01:00:02 檢舉

AD最重要的就是DNS，DNS一有問題全部都不正常
我覺得先從DNS Server開始查起，本機解析看看
再從區網電腦測nslookup 和檢查防火牆是否有開DNS 服務
看你上圖好像連DNS都找不到了
從換了防火牆開始出問題估計是你對產品不熟悉不會設有很大可能
盡量找原廠support 看有沒有一些設定文件讀一下

msnman iT邦研究生 1 級 ‧ 2017-08-03 01:56:32 檢舉

檢查防火牆有沒有開啟53udp和tcp。ad的時間有沒有問題。

lard0921 iT邦新手 4 級 ‧ 2017-08-03 08:17:00 檢舉

最簡單的還是之前防火牆有沒有定期備份出來然後最好有一台一樣型號的備機這樣緊急狀況時能馬上頂替

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2017-08-03 03:08:41

你的問題或許不難解, 但因為你的基礎知識不足, 在描述的過程沒有提供充足的正確資訊, 導致大家隔空抓藥也可能無從下手, 或是給錯方向. 或是大家需要你收集更進一步的資訊時, 你不知道該操作甚麼工具去取得....

AD 環境下的 DNS 不能設到外面去, 你用 Firewall 的 DHCP 去發 IP, 預設應該會是用外面的 DNS Server, 這樣會造成內部 Client 找不到 AD. 所以解法有兩種: A.修正 Firewall 上面的 DHCP 設定, 把 DNS 指回你的 DC Server, B. 回到使用 DC 發 DHCP 的狀態, 確保 Client 端拿到的 DNS Server 是你的 DC.
上面的問題解完, 確保內部 Client 的 AD 操作正常之後, 再去查修其他的問題. 沒有道理換一台防火牆, 就使得內部的 DHCP 不能用, 一定是設定相衝突或你用的預設值有誤, 因為是新的防火牆, 十之八九會是防火牆的設定問題. 但是大家摸不到你家的設備, 也不知道你家的環境架構, 看不到問題, 很難隔空幫你.
設定或維運防火牆, 操作者至少要具備 OSI Layer 1~4 層的基礎知識, 搭配對該設備型號的操作訓練. 但是從你的提問內容, 看不出你已經具備上述條件. 你想獨立解決這問題需要兩種知識: A. OSI 觀念, B. 該型號的操作技術. 當你缺乏這兩種必要條件時, 要完成手上的任務, 可能會有以下幾種做法: A. 請設備廠商代為設定 B. 趕快念書把上面的知識補齊 C. 付費請第三方協助設定.
基於以上第三點, 買設備時, 一定要注意你是否可以取得廠商的後援? 原廠訓練課程, 客服專線, 產品經理, 經銷商服務....這些都是你可以取得精準支援的管道, 會比來這邊問問題更有效率.
PC 的問題很好解, 你個人的經驗就足夠了. 但是整個網路的維運, 以及各種設備的操作, 就不是你在 PC 領域中, 可以容易取得的經驗. 要獲得這樣的經驗, 有幾種途徑: A.每次都叫廠商來規劃安裝, 你趁機在旁學習 B.找一家公司,跟在技術先進的資深者身邊, 邊看邊學 C.直接去廠商或SI公司上班, 利用公司資源學習 D.窮盡你的存款和時間, 自購設備在家自組環境, 用所有的空閒時間自學.

這是某位神人自家一角, 他年薪近百萬, 全部花在自學的設備上:
https://www.facebook.com/photo.php?fbid=10205902880051472&set=a.4384315826388.1073741826.1843021957&type=3&theater