Turning DNS Protection on breaks the local Windows domain connection

[jameszeroX]

AdGuard version

7.15.1

Browser version

OS version

Windows 10 Pro 21H2 (19044.1706)

What filters do you have enabled?

No response

What Stealth Mode options do you have enabled?

No response

Support ticket ID

No response

Issue Details

На компьютере, входящем в домен Windows, при включении "DNS-защиты" и выборе любого из вариантов DNS кроме системного, теряется доступ к домену. Не открываются DFS папки, не применяется групповая политика, в логах фиксируется ошибка:

Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.

Не доменный компьютер не вводится в домен с ошибкой:

При запросе DNS записи ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена Active Directory для домена "blabla.lan" произошла ошибка:
Произошла ошибка: "Ошибка DNS-сервера."
(код ошибки: 0x0000232A RCODE_SERVER_FAILURE)

DNS-защита выключена:

nslookup srv-dc.domain.lan
╤хЁтхЁ:  srv-sc.domain.lan
Address:  10.1.1.3
 
Не заслуживающий доверия ответ:
╚ь :     srv-dc.domain.lan
Address:  10.1.1.2 

DNS-защита включена:

nslookup srv-dc.domain.lan
╤хЁтхЁ:  UnKnown
Address:  10.1.1.3
 
*** UnKnown не удалось найти srv-dc.domain.lan: Non-existent domain 

В расширенных настройках AdGuard включена опция не фильтровать диапазоны локальных адресов и domain.lan добавлен в список DNS-исключений.

Actual Behavior

No response

Expected Behavior

Лучший вариант:
Трафик доменных служб Windows должен быть исключён из фильтрации.

Крайний вариант:
Для доменных компьютеров выбор DNS службы, отличной от системной, должен быть заблокирован с соответствующим информированием пользователя.

Screenshots

No response

Additional Information

No response

[KolbasovAnton]

@jameszeroX Добрый вечер! Для диагностики и решения Вашей проблемы, нам понадобятся логи приложения AdGuard.

Соберите и отправьте указанные файлы, используя данную инструкцию:

1. Соберите логи согласно данной инструкции - https://adguard.info/kb/ru/adguard-for-windows/solving-problems/adguard-logs/
2. Запомните точное время воспроизведения проблемы. Оно понадобится нам, чтобы найти соответствующие записи в лог-файле;
3. Отправьте полученный архив по адресу devteam@adguard.com. Также укажите номер задачи Github и время воспроизведения проблемы.

[jameszeroX]

Отправил на email отладочные логи, если нужны ещё трейсовые, сообщите.

[KolbasovAnton]

@jameszeroX попробуйте пока внести диапазон ip-адресов, где находятся папки, к которым у Вас пропадает доступ, в исключения (Настройки - Основные настройки - Расширенные настройки).

[jameszeroX]

@KolbasovAnton, используемая мной подсеть 10.1.1.0/24 поглощается уже внесенной в список 10.0.0.0/8, но даже принудительное указание 10.1.1.0/24 вместо 10.0.0.0/8 не влияет на ситуацию, проблема остаётся.

Хочу добавить, что компьютеры из сетевого окружения по самбе открываются нормально и их общие папки тоже. Проблема касается конкретно общих ресурсов распределенной файловой системы DFS, которая обслуживается DNS сервером контроллера доменов Active Directory. Полагаю, что запросы к этому DNS серверу перехватываются AdGuard-ом, а он про домен AD и тем более про DFS ничего не знает.

[KolbasovAnton]

@jameszeroX попробуйте добавить klod.rzga412.lan в системные hosts с ip-адресом (C:\Windows\System32\drivers\etc\hosts).

[jameszeroX]

Да, это работает, но есть нюанс. DFS позволяет объединять несколько серверов в одно пространство имен, т.е. на одном имени находятся несколько файловых ресурсов, а DNS-сервер контроллера домена выдаёт клиенту подключение к наименее загруженному либо к более близкорасположенному серверу (на практике всё несколько сложней, но не суть). Назначив DFS-ресурсу один IP-адрес в host мы нарушаем этот механизм. Кроме того запись в hosts не исправляет проблему невозможности обновить групповую политику.

[jameszeroX]

Дальнейшие эксперименты показали, что если добавить в файл hosts IP-адреса и имена контроллеров домена, а их в данной сети два, то групповая политика начинает применяться нормально, но есть несколько ресурсов на линукс, для которых создана A запись в DNS-сервере контроллера домена, их тоже приходится вносить в hosts, чтобы они открывались. В общем DNS-сервер контроллера доменов Windows не работает для клиента, если у клиента включена DNS-защита AdGuard и выбран резолвер, отличный от системного.

[KolbasovAnton]

@jameszeroX спасибо Вам за замечания. Предварительно планируем разобрать этот баг в версии 7.17.

[adbuker]

@jameszeroX , добавление в hosts, очевидно, является весьма грубой настройкой, но как показали ваши эксперименты - это работает. Для более гибкой настройки модуля днс вы можете добавить пользовательские юзер-правила в днс-фильтр. Синтаксис правил находится тут

[jameszeroX]

Проверил, добавление пользовательских DNS-правил тоже решает проблему. Только массово эту операцию не применить. Компьютеров в домене Windows, как правило, очень много, а централизованной настройки у AdGuard не предусмотрено, к сожалению.

[vankos]

@jameszeroX, добрый день!
Судя по логам, которые вы прислали, вы добавили в DNS исключения только rzga412.lan. Не могли бы добавить туда другие имена доменов, которые должны быть исключены, т.е. klod.rzga412.lan, srv-dc.domain.lan итд и попробовать с ними? Если вам нужно добавить в исключения все поддомены, например, rzga412.lan, то можно занести их в исключения с помощью ***** в виде *.rzga412.lan или, для всех поддоменов .lan - *.lan

[jameszeroX]

Добрый день.
Проверил, добавление в DNS-исключения отдельных компьютеров, контроллеров домена или всего домена с wildcard - *.rzga412.lan не исправляет ситуацию, Компьютеры по прежнему недоступны, групповая политика не применяется.

[vankos]

Тогда большая просьба записать и отправить нам новые логи с новыми настройками с вайлдкартом по инструкции в этом комментарии:
#4906 (comment) , спасибо!

[jameszeroX]

Отправил логи на почту devteam@adguard.com

[jameszeroX]

Проверил на версии 7.17 beta 1
Проблема решена.
Дополнительные действия: требуется вручную добавить локальный домен Active Directory в DNS-исключения AdGuard, например: *.domain.lan или просто *.lan