排查ping不通AD域名思路与过程
你这个情况很典型:能够 ping 通 AD 域控制器的 IP,也能解析出 DNS 服务器,但 ping 域名却失败。分析如下:
1️⃣ nslookup vs ping 的差异
-
你
nslookup shuncom.local返回空:名称: shuncom.local没有解析出具体 IP,这说明 DNS 正常响应,但 AD 域名本身可能没有 A 记录。
-
ping shuncom.local失败,因为 Windows ping 依赖 A/AAAA 记录:-
如果 DNS 中只存在 NS、SOA 或 SRV 记录,没有 A/AAAA,ping 会失败。
-
AD 域名通常只有 SRV 记录(例如
_ldap._tcp.shuncom.local),而不是直接给shuncom.local配置 A 记录。
-
2️⃣ 检查 DNS 记录
在 DNS 服务器上运行:
nslookup
> set type=A
> shuncom.local
-
如果没有返回 IP,就说明没有 A 记录。
-
AD 域控制器一般是通过 域控制器主机名 + SRV 记录 来定位的,ping 根域名通常不通。
3️⃣ Windows 客户端配置
-
确保客户端 DNS 设置指向 AD 域控制器 IP(你已经是 192.168.0.5)。
-
测试域控制器主机名:
ping S-DNS6.shuncom.local如果能 ping 通,说明网络和 DNS 基本没问题。
-
测试服务定位:
nslookup -type=SRV _ldap._tcp.shuncom.local能返回 DC 的记录就说明 AD 正常。
4️⃣ 结论
-
ping shuncom.local 不通属于正常现象,因为 AD 根域名通常没有 A 记录。
-
正确的做法是:
-
ping 域控制器主机名(例如
S-DNS6.shuncom.local) -
确认 AD 服务可以正常访问(
netdiag,dcdiag,nslookup -type=SRV)
-
💡 建议:
如果你想让 ping shuncom.local 成功,可以在 DNS 上手动创建一个 A 记录:
| Name | Type | IP |
|---|---|---|
| shuncom.local | A | 192.168.0.5 |
这样根域名就能 ping 通了,但不是必需的,不会影响 AD 认证或域登录。
我可以帮你写一条命令,快速在 Windows DNS 或 Ubuntu 上验证根域名是否有 A 记录,并创建它。你希望我写吗?
根据你提供的 nslookup -type=SRV _ldap._tcp.shuncom.local 输出,可以确认:
-
AD 域控制器 SRV 记录正常,客户端可以找到 DC 并通过 LDAP 访问。
-
s-dns6.shuncom.local和s-dns9.shuncom.local都有 A 记录(192.168.0.5 / 192.168.0.6),所以 DC 本身可以访问。 -
根域名
shuncom.local没有 A 记录,所以ping shuncom.local失败是正常现象。
🔹 原因总结
-
Windows ping 根域名需要 A/AAAA 记录。
-
AD 域默认只在 DNS 中创建:
-
_ldap._tcp.<domain>SRV 记录 -
hostname.domainA 记录(即 DC 主机名有 A 记录)
-
-
根域名本身(
shuncom.local)通常没有绑定 IP,因此 ping 不通。
🔹 验证方法
你可以尝试 ping 域控制器主机名:
ping s-dns6.shuncom.local
ping s-dns9.shuncom.local
应该可以通。
你也可以测试 LDAP 连接:
nltest /dsgetdc:shuncom.local
这会返回可用域控制器。
🔹 可选方案(非必须)
如果你真的希望 ping shuncom.local 通,可以在 DNS 服务器上手动添加一个 A 记录:
| 名称 | 类型 | IP 地址 |
|---|---|---|
| shuncom.local | A | 192.168.0.5 |
⚠️ 注意:这只是为了 ping 通根域名,不影响 AD 域功能。
如果你需要,我可以给你写一个 在 Windows DNS 上添加根域名 A 记录的操作步骤,安全且快速。你希望我写吗?