Почему dig не получает ответ от контроллера домена

Ситуация, когда DNS-запрос dig @192.168.2.4 ad2.dom.local с одних IP-адресов возвращает корректный A-запись, а с других - пустой ответ, указывает на неочевидные проблемы в сети. Это может быть связано с настройками DNS-сервера, кешированием или сетевыми ограничениями. В этой статье мы разберём основные причины и пути их решения.

Основные причины нестабильного ответа DNS

Кеширование на DNS-сервере

Если на контроллере домена (DC) включено кеширование, то при первом запросе с нового IP-адреса сервер может не иметь записи в кеше и возвращать пустой ответ. Проверьте настройки кеширования на DC: dnscmd /config /CacheLockingPercent 0 (отключение блокировки кеша).

Разрешения на зону и динамические обновления

Убедитесь, что зона dom.local настроена на безопасные динамические обновления. Если зона только для чтения или имеет ограничения по IP-адресам, запросы с некоторых клиентов могут игнорироваться. Проверьте в оснастке DNS: свойства зоны → вкладка «Общие» → тип обновлений.

Сетевые фильтры и брандмауэр

На целевом контроллере домена (192.168.2.4) может быть настроен брандмауэр, блокирующий входящие DNS-запросы с определённых подсетей. Проверьте правила Windows Firewall: разрешён ли UDP/TCP порт 53 для всех нужных IP-адресов.

Проблемы с репликацией DNS

Если в сети несколько контроллеров домена, возможна задержка репликации зон. При запросе к одному DC вы получаете ответ, а к другому - пустой. Проверьте статус репликации с помощью repadmin /replsum.

Как диагностировать проблему

Проверка с разных клиентов

Выполните команду dig @192.168.2.4 ad2.dom.local с нескольких машин в разных подсетях. Сравните ответы: если с одного IP-адреса приходит пустой ответ, а с другого - корректный, проблема локализована.

Анализ логов DNS-сервера

Включите отладочное логирование на DC: dnscmd /config /LogLevel 0x10000. Посмотрите, приходят ли запросы от проблемного клиента и какой код ответа возвращается (например, NXDOMAIN или SERVFAIL).

Часто задаваемые вопросы