iT邦幫忙

0

當一次防火牆壞掉後,DNS無法解析,電腦無法加入網域,DNS有兩個

**前情提要: **在某一次,大樓斷電後,公司防火牆(192.168.1.254)壞掉,公司都無法連到外部網路,就添購一台NETGEAR ProSafe™ Gigabit Dual WAN SSL VPN Firewall FVS336Gv3,也不知道為何在設定一直無法順利讓公司內部可連線到網部,直到將在防火牆上開啟DHCP server和DNS Proxy,但原本DHCP和DNS都是在AD server(192.168.1.200)上,所以關閉在AD server的DHCP,但之後要將新進人員電腦加入網域,會出現下列情況:

注意事項: 這個專業資訊是提供給網路系統管理員。如果您不是網路系統管理員,請將這個資訊告訴您的網路系統管理員。這個資訊已經記錄在檔案 C:\Windows\debug\dcdiag.txt 中。

在查詢 DNS 以取得用來尋找網域 "XXXX.com" 之 Active Directory 網域控制站 (AD DC) 的服務位置 (SRV) 資源記錄時,發生下列錯誤:

錯誤是: "DNS 名稱不存在。"
(錯誤碼 0x0000232B RCODE_NAME_ERROR)

這是 _ldap._tcp.dc._msdcs.myet.com 的 SRV 記錄查詢

發生這個錯誤的常見原因包含:

  • 尋找網域的 AD 網域控制站時所需要的 DNS SRV 記錄並未登錄在 DNS 中。當 AD 網域控制站新增到網域時,這些記錄會自動登錄在 DNS 伺服器。AD 網域控制站會在固定的時間間隔更新它們。這部電腦已經設定成使用具有下列 IP 位址的 DNS 伺服器:

192.168.1.254
192.168.1.200

  • 下列一些區域的子區域中並未包含委派:

XXXX.com
com
. (根區域)


嘗試加入網域"XXXX.com"時,發生以下錯誤:

找不到網路路徑。


嘗試加入網域"XXXX.com"時,發生以下錯誤:
嘗試解析將加入之網域中的網域控制站的DNS名稱失敗。請檢查此用戶端的設定是否允許連線到可解析目標網域中之DNS名稱的DNS伺服器。如需關於網路疑難排解的詳細資訊,請參閱Windows說明。

http://ithelp.ithome.com.tw/upload/images/20170802/20100718785u1zKVcx.jpg

*已經不知道從何查起?知識和功力都太弱了,希望大大們,可以用簡單又明瞭的方式引到我找到問題?

hsiang11 iT邦新手 2 級 ‧ 2017-08-03 01:00:02 檢舉
AD最重要的就是DNS,DNS一有問題全部都不正常
我覺得先從DNS Server開始查起,本機解析看看
再從區網電腦測nslookup 和檢查防火牆是否有開DNS 服務
看你上圖 好像連DNS都找不到了
從換了防火牆開始出問題 估計是你對產品不熟悉不會設有很大可能
盡量找原廠support 看有沒有一些設定文件讀一下
msnman iT邦研究生 3 級 ‧ 2017-08-03 01:56:32 檢舉
檢查防火牆有沒有開啟53udp和tcp。ad的時間有沒有問題。
lard0921 iT邦新手 5 級 ‧ 2017-08-03 08:17:00 檢舉
最簡單的還是之前防火牆有沒有定期備份出來 然後最好有一台一樣型號的備機 這樣緊急狀況時能馬上頂替

1 個回答

6
raytracy
iT邦大神 1 級 ‧ 2017-08-03 03:08:41

你的問題或許不難解, 但因為你的基礎知識不足, 在描述的過程沒有提供充足的正確資訊, 導致大家隔空抓藥也可能無從下手, 或是給錯方向. 或是大家需要你收集更進一步的資訊時, 你不知道該操作甚麼工具去取得....

  1. AD 環境下的 DNS 不能設到外面去, 你用 Firewall 的 DHCP 去發 IP, 預設應該會是用外面的 DNS Server, 這樣會造成內部 Client 找不到 AD. 所以解法有兩種: A.修正 Firewall 上面的 DHCP 設定, 把 DNS 指回你的 DC Server, B. 回到使用 DC 發 DHCP 的狀態, 確保 Client 端拿到的 DNS Server 是你的 DC.

  2. 上面的問題解完, 確保內部 Client 的 AD 操作正常之後, 再去查修其他的問題. 沒有道理換一台防火牆, 就使得內部的 DHCP 不能用, 一定是設定相衝突或你用的預設值有誤, 因為是新的防火牆, 十之八九會是防火牆的設定問題. 但是大家摸不到你家的設備, 也不知道你家的環境架構, 看不到問題, 很難隔空幫你.

  3. 設定或維運防火牆, 操作者至少要具備 OSI Layer 1~4 層的基礎知識, 搭配對該設備型號的操作訓練. 但是從你的提問內容, 看不出你已經具備上述條件. 你想獨立解決這問題需要兩種知識: A. OSI 觀念, B. 該型號的操作技術. 當你缺乏這兩種必要條件時, 要完成手上的任務, 可能會有以下幾種做法: A. 請設備廠商代為設定 B. 趕快念書把上面的知識補齊 C. 付費請第三方協助設定.

  4. 基於以上第三點, 買設備時, 一定要注意你是否可以取得廠商的後援? 原廠訓練課程, 客服專線, 產品經理, 經銷商服務....這些都是你可以取得精準支援的管道, 會比來這邊問問題更有效率.

  5. PC 的問題很好解, 你個人的經驗就足夠了. 但是整個網路的維運, 以及各種設備的操作, 就不是你在 PC 領域中, 可以容易取得的經驗. 要獲得這樣的經驗, 有幾種途徑: A.每次都叫廠商來規劃安裝, 你趁機在旁學習 B.找一家公司,跟在技術先進的資深者身邊, 邊看邊學 C.直接去廠商或SI公司上班, 利用公司資源學習 D.窮盡你的存款和時間, 自購設備在家自組環境, 用所有的空閒時間自學.

這是某位神人自家一角, 他年薪近百萬, 全部花在自學的設備上:
https://www.facebook.com/photo.php?fbid=10205902880051472&set=a.4384315826388.1073741826.1843021957&type=3&theater

我要發表回答

立即登入回答