ずぅ~~~っとESX上のWindowsクライアントがWindowsUpdateできなくて悩んでた。きつめのセキュリティソフトを入れてるし2年前のUSBウィルスで皆さんコリたので、感染は見つかってないのですが、やっぱり気持ち悪い。
で、”みかか”のSEさんにゴロニャンして見ていただくも、見立てがどうも違うようだ。
よくよく症状を見ると、’*.microsfot.com’の一部の名前解決に失敗している。yahoo.comやibm.com(これが打ち易い)は問題なし。IEでも開くけど、’go.microsoft.com’が引けない。
ActiveDirectoryのポリシーの設定を疑うも、なんか違うっぽい。
ネームサーバをGoogle公開サーバにすると、うまくいく(もちろんドメインから外す)。やはり名前解決に失敗してる。
けどDNSをADサーバに向けないとドメインに参加できない。
「問題解決の第一歩はログ調査から」、ところがUNIXerはボクはイベントログを見る習慣がなかった。これがイカンです。
ちゃぁ~んとヒントが。「パケット長が長すぎるので破棄したよーん」。
さてはDNSSECか!と思いきや、ぢつは勇み足。
DNSポイゾニング予防でした。
無許可転載なのでポインタだけ。
■MURA’s HomePage (村嶋 修一氏)
□WS08R2で名前解決ができないホストがある場合の対処
http://www.vwnet.jp/Windows/WS08R2/EDNS0/EDNS0.htm
またしても先人の知恵に感謝 m(_ _)m