#每日一记#AD代理DNS转发问题排查

一、用户需求

AD作为分支本地DNS服务器替换原总部DNS服务器，但是部分域名依旧由总部DNS解析

【普通用户不能直接访问到总部DNS】

eg.  

二、问题现象

按下图配置后，pc不能解析test.a.com

但是AD的控制台可以解析test.a.com

三、排查思路

1、如果PC的DNS填写AD设备接口地址，注意查看DNS监听地址有没有填，需要将AD设备接口地址填写到DNS监听地址处

2、查看DNS服务器列表有没有填写需要代理的DNS服务器

3、AD6.3之前版本需要查看客户端电脑的DNS是否填写正确，需要填写DNS服务器列表的地址或者AD的LAN口地址，6.3及之后版本，如果配置的代理目标范围是指定服务器，同6.3之前需要查看客户端电脑的DNS，如果配置的是全部DNS请求，并且代理内网网段是全部网段，则不需要查看客户端电脑的DNS

4、【系统概况】-【DNS状态】中DNS服务器是否在线，离线的DNS服务器是不会参与调度的

四、故障解决

本地NS记录优先于DNS代理，禁用*.a.com的本地NS记录后，代理DNS生效

五、原因分析

1. 优先匹配NS记录时的请求走向

2. 匹配DNS代理时的请求走向

ad作为DNS服务器时，代理DNS服务器优先级低于本地的DNS记录。

排障时首先要检查配置是否正确，其次也要考虑相关策略的优先级。

感谢分享，有助于工作，学习学习

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢分享，有助于工作

首先要检查配置是否正确，其次也要考虑相关策略的优先级。

将配置加上lan口，再测试访问，不丢包了。

多谢分享，学习了，每日一学增强体质。