New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Turning DNS Protection on breaks the local Windows domain connection #4906
Comments
@jameszeroX Добрый вечер! Для диагностики и решения Вашей проблемы, нам понадобятся логи приложения AdGuard. Соберите и отправьте указанные файлы, используя данную инструкцию:
|
Отправил на email отладочные логи, если нужны ещё трейсовые, сообщите. |
@jameszeroX попробуйте пока внести диапазон ip-адресов, где находятся папки, к которым у Вас пропадает доступ, в исключения (Настройки - Основные настройки - Расширенные настройки). |
@KolbasovAnton, используемая мной подсеть 10.1.1.0/24 поглощается уже внесенной в список 10.0.0.0/8, но даже принудительное указание 10.1.1.0/24 вместо 10.0.0.0/8 не влияет на ситуацию, проблема остаётся. Хочу добавить, что компьютеры из сетевого окружения по самбе открываются нормально и их общие папки тоже. Проблема касается конкретно общих ресурсов распределенной файловой системы DFS, которая обслуживается DNS сервером контроллера доменов Active Directory. Полагаю, что запросы к этому DNS серверу перехватываются AdGuard-ом, а он про домен AD и тем более про DFS ничего не знает. |
@jameszeroX попробуйте добавить klod.rzga412.lan в системные hosts с ip-адресом (C:\Windows\System32\drivers\etc\hosts). |
Да, это работает, но есть нюанс. DFS позволяет объединять несколько серверов в одно пространство имен, т.е. на одном имени находятся несколько файловых ресурсов, а DNS-сервер контроллера домена выдаёт клиенту подключение к наименее загруженному либо к более близкорасположенному серверу (на практике всё несколько сложней, но не суть). Назначив DFS-ресурсу один IP-адрес в host мы нарушаем этот механизм. Кроме того запись в hosts не исправляет проблему невозможности обновить групповую политику. |
Дальнейшие эксперименты показали, что если добавить в файл hosts IP-адреса и имена контроллеров домена, а их в данной сети два, то групповая политика начинает применяться нормально, но есть несколько ресурсов на линукс, для которых создана A запись в DNS-сервере контроллера домена, их тоже приходится вносить в hosts, чтобы они открывались. В общем DNS-сервер контроллера доменов Windows не работает для клиента, если у клиента включена DNS-защита AdGuard и выбран резолвер, отличный от системного. |
@jameszeroX спасибо Вам за замечания. Предварительно планируем разобрать этот баг в версии 7.17. |
@jameszeroX , добавление в hosts, очевидно, является весьма грубой настройкой, но как показали ваши эксперименты - это работает. Для более гибкой настройки модуля днс вы можете добавить пользовательские юзер-правила в днс-фильтр. Синтаксис правил находится тут |
Проверил, добавление пользовательских DNS-правил тоже решает проблему. Только массово эту операцию не применить. Компьютеров в домене Windows, как правило, очень много, а централизованной настройки у AdGuard не предусмотрено, к сожалению. |
@jameszeroX, добрый день! |
Добрый день. |
Тогда большая просьба записать и отправить нам новые логи с новыми настройками с вайлдкартом по инструкции в этом комментарии: |
Отправил логи на почту devteam@adguard.com |
Проверил на версии 7.17 beta 1 |
AdGuard version
7.15.1
Browser version
OS version
Windows 10 Pro 21H2 (19044.1706)
What filters do you have enabled?
No response
What Stealth Mode options do you have enabled?
No response
Support ticket ID
No response
Issue Details
На компьютере, входящем в домен Windows, при включении "DNS-защиты" и выборе любого из вариантов DNS кроме системного, теряется доступ к домену. Не открываются DFS папки, не применяется групповая политика, в логах фиксируется ошибка:
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.
Не доменный компьютер не вводится в домен с ошибкой:
DNS-защита выключена:
DNS-защита включена:
В расширенных настройках AdGuard включена опция не фильтровать диапазоны локальных адресов и domain.lan добавлен в список DNS-исключений.
Actual Behavior
No response
Expected Behavior
Лучший вариант:
Трафик доменных служб Windows должен быть исключён из фильтрации.
Крайний вариант:
Для доменных компьютеров выбор DNS службы, отличной от системной, должен быть заблокирован с соответствующим информированием пользователя.
Screenshots
No response
Additional Information
No response
The text was updated successfully, but these errors were encountered: