基础排查-步骤一、检查DNS代理范围配置，确定终端是否有命中代理模块

更新时间：2023-04-14

所属模块链路负载 | DNS代理

适用版本通用

配置DNS代理模块后

问题现象一：内网DNS记录无法解析。

问题现象二：公网域名无法解析。

高危预警：

DNS代理目标范围不要设置全部DNS请求+代理所有网段策略，若要使用全部DNS请求，那么建议代理网段为内网IP网段即可，规避公网扫描出AD递归查询漏洞。

问题现象一：内网DNS记录无法解析排查

1、检查终端网卡DNS是否配置正确，是否配置内网DNS服务器本身解析异常导致，可以更换dns地址为AD网关列表中地址或者监听地址测试。

2、检查DNS代理目标范围条件是否合理，一般配置为指定DNS服务器或者全部DNS请求，根据场景配置，新老版本配置截图和几种代理范围解释如下：

指定的服务器：终端网卡DNS地址需要配置AD设备网关DNS列表中地址或IPv4/6监听地址其中一个，则命中的代理；

指定的域名：对终端网卡DNS地址无要求，只需要AD能收到请求，AD代理的范围为前置调度策略或内网DNS记录域名进行返回，其它域名不进行代理；

全部DNS请求：终端网卡DNS地址可任意配置，只要终端DNS请求到达AD则命中DNS代理模块；

3、检查代理内网网段范围是否合理，默认情况填写内网网段集合或者全部网段，如果配置内网网段集合，则需要检查代理网段是否有匹配终端网段，中间是否有设备对终端地址进行了SNAT，沟通是否可以改为全部网段测试代理。

问题现象二：公网域名无法解析排查

1、检查终端网卡DNS是否配置正确，是否配置内网DNS服务器其服务器本身异常导致，可以更换dns地址为AD网关列表中地址或者监听地址测试。

2、检查dns代理范围和代理网段，是否有命中DNS代理，可以在内网DNS记录添加一条www.test.com的A记录，测试是否命中代理。

3、检查网关DNS是否有在线，至少需要存在一个网关dns在线才能转发到公网。

4、对于个别域名无法解析，检查是否有前置调度策略，将该域名强制调度到了某个离线的网关DNS服务器导致无法解析；检查是否某个公网DNS服务器本身就无法解析该域名，webconsole中可以执行命令，逐一指定DNS网关列表的dns服务器分别解析域名得出结论，新老版本测试命令分别如下：

nslookup -querytype=a www.sangfor.com.cn 114.114.114.114

nslookup www.abc.com 223.5.5.5

解决办法：更换网关DNS服务器，或者前置调度策略指定网关DNS服务器解析。

如上。

必须检查基本配置，终端是否有命中DNS代理模块，如果是公网域名无法解析，可以通过内网dns记录配置来辅助测试是否命中DNS代理模块。有内网DNS服务器场景下，需要注意对比，填写AD网关列表dns地址或者监听地址、公网DNS服务器地址来判断是否内网DNS服务器异常。

{{contentObj.name||'--'}}