AD异常断网，跟着400学问题分析

    事情起因：一医院客户机房搬迁，搬迁之后，发现AD设备无法启动，联系销售（带测试调试设备）、技术赶往现场。

    解决方案：

    1、原AD设备开机没反应，更换电源后依旧如此，初步断定是硬件故障。

    2、配置测试设备，保证用户正常上网需求。

   

    问题来了，AD上架配置好策略后，发现起初PC终端上网正常，但过15分钟左右，网页无法打开（一般网站的一级链接没问题，但二级链接无法打开；或者网站首页也打不开），QQ也无法登录。

    1、从AD命令行控制台ping公网域名及公网IP。通信正常。

    2、从问题客户端ping公网域名及公网IP。通信正常。

         

    为什么能解析出地址，通信正常却无法访问呢？

    1、重新检查AD策略。除网络接口、地址转换、静态路由和默认的智能路由保留外，将所有策略禁用。

    2、会不会是中间设备的原因呢？PC到公网、PC到AD的LAN口没有丢包，且中间设备故障前没有更改过策略。

         

　如果PC直连AD，问题是不是就解决了？

    1、PC直连AD的LAN口，配置与LAN口同网段IP。

          结果：问题依旧。

    会不会是公网链路问题？

     1、将外网链路中的其中一条连接到PC的网口上。

          结果：PC上网正常。

    重启设备试试呢？

      1、将AD设备重启。

          结果：重启后，一段时间（10-15分钟）内正常，之后又出现上述描述的现象。

     结论：故障点肯定是AD设备，但不知道是配置的问题还是设备的问题。

     黔驴技穷，找400来协助。

     400排错步骤：

     1、了解故障现场。

     2、检查AD设备配置。

     3、打开pshell抓包。发现只有故障PC发往公网的请求包，没有公网返回的应答包。

     4、更改AD智能路由策略，将所有流量放到一条链路上；上网行为管理（AD与核心交换机之间）开直通；开启DNS代理。

     5、故障PC测试，上网正常。将步骤4的策略逐步关闭，关闭一个看PC访问网站的现象。最终确定是DNS代理没有开启的原因。

     分析出来的最终原因，即终端用户没有配置好DNS，需要AD代理用户的DNS请求，用户才能正常上网。

     我始终不太认可。为什么呢？因为PC终端配置的地址是公网的DNS，而且是一般北京的小伙伴都知道的联通DNS：202.106.0.20。正常用户不需要AD代理，直接通过公网的DNS上网应该是没有问题的。难道我出口设备不是AD，使用AF、AC或者其他没有DNS代理的设备，内网用户就无法上网了吗？

     内网PC的IP参数：

     

    导致断网的DNS代理：

     

     

    聪明的小伙伴们，你们觉得会不会是客户独特的网络环境决定了必须要配置DNS代理呢？

感觉这个理由有点牵强，在没有配置DNS代理的时候，为什么一开始的10-15分钟内又是可以正常上网的呢？这样就说不通了啊

我有个小问题 那什么情况下要启用DNS代理？上架了AD发现打不开网页一般是什么地方出问题

感谢楼主的分享，有相同问题的小伙伴，不防按照楼主的方法看是否能解决！

另外，是哪位400同事处理的呢？我找他来跟大家解释解释

哈哈  来学习一下

思路很清晰。值得借鉴学习

很好，刚好用到

讲的真的不错

非常详细，对我们的帮助很大

思路很好，不会就找400