Сбой DNS-сервера Windows Server

У меня возникли некоторые проблемы с разрешением DNS в Windows Server 2022, и я надеялся получить некоторую информацию. Я включил несколько скриншотов в пост

Рассматриваемый сервер работает на HyperV и настроен как контроллер домена Active Directory с установленными ролями DNS и DHCP. Я настроил свои серверы пересылки DNS, как показано на этот скриншот

Я заметил, что событие, отображаемое в журналах событий, довольно много говорит DNS-сервер обнаружил недопустимое доменное имя в пакете от 1.1.1.1. Пакет будет отклонен. Данные события содержат пакет DNS. Попытка запустить nslookup для доменов, указанных в пакете, приведет к ошибке, однако указание nslookup напрямую на мои серверы пересылки будет разрешено правильно.

Кажется, что есть домены, которые выходят из строя чаще, чем другие, однако через некоторое время неисправные домены могут начать корректно разрешаться, пока я не очистил кеш DNS. Доменное имя, которое я тестировал, токен.safebrowsing.apple поскольку я обнаружил, что это дает сбой наиболее надежно, однако я видел, что это происходит со всеми видами доменов, включая www.icann.org. Просто просматривая Интернет, я обнаружил, что веб-сайты не разрешаются, может быть, в 5% случаев?

Это ошибка, которую возвращает nslookup, однако через некоторое время он перестанет даже пытаться запрашивать серверы пересылки и просто вернет эта ошибка. Как упоминалось выше, указание nslookup непосредственно на 1.1.1.1 будет работать правильно

Я запустил WireShark, чтобы попытаться разобраться в этом, и вы можете видеть, как служба DNS пытается запросить каждый сервер пересылки, получая сбой сервера от каждого перед возвратом к клиенту (в данном случае 10.10.0.55) с servfail. Сервер DC/DNS настроен на 10.100.0.30. Вот скриншот вида пакета (пакет 83 с предыдущего скриншота)

До сих пор я пробовал использовать разные форвардеры (я обнаружил, что удаление 1.1.1.1 и оставив только 8.8.8.8 остановил ошибку в средстве просмотра событий, но не фактическую ошибку разрешения). Я также пробовал играть с настройками DNSSec и точками доверия, удаляя все серверы пересылки и просто используя корневые подсказки, отключая сервер от прослушивания своего IPv6-адреса и включая/отключая различные параметры в дополнительных свойствах, но безрезультатно. Я также пытался увеличить время ожидания, но все равно ничего.

Некоторое время ломал голову, поэтому любой совет был бы потрясающим! Пожалуйста, дайте мне знать, если потребуется дополнительная информация.

Спасибо!

Похоже, что время запроса истекло из-за отсутствия авторитетного ответа. Я бы посмотрел, что делают ваши серверы пересылки DNS вместо вашей внутренней сети. Кажется, что ваш сервер пересылки отвечает вашему клиенту/серверу, это не SOA и ему отказано. Не совсем исправление, но, надеюсь, направит вас в правильном направлении.