Windows 2012 не может проверить серверы пересылки без корневой зоны?

12

(Отказ от ответственности: я не являюсь администратором DNS в Windows. У меня есть приличный опыт работы с DNS, но это не имеет никакого смысла. Я тесно сотрудничаю с администраторами, отвечающими за эти устройства, и могу проводить тесты как необходимо).

Мы столкнулись с проблемой, когда мы не можем добавить условные серверы пересылки, которые указывают на серверы имен BIND в Windows Server 2012. Добавление IP-адреса сервера приводит к ошибке проверки: An unknown error occurred while validating the server.

пересылка не удалась.  :(

Посмотрев журнал запросов на сервере BIND, мы обнаружили нечто довольно интересное: запрашивал DNS-сервер Windows . IN SOA, то есть запись SOA для корневых серверов имен. Нет запроса example.com. IN SOAвообще. Он пытается запросить полномочия root и не продолжает работу, когда получает ответ REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Безумие. Чтобы пошутить, мы воспроизвели эту проблему в лаборатории. Я скачал копию корневой зоны и настроил .зону (комментируя мои корневые подсказки), и вот, эта ошибка больше не возникает.

Я действительно не понимаю этого. Я предоставляю авторитетный сервер имен, который не должен предоставлять ответы . SOA, и, в зависимости от обстоятельств, мне придется добавить эту зону на все наши производственные серверы, просто чтобы хорошо играть с Windows 2012. По моему опыту, Экспедитор должен интересоваться только тем, является ли целевой сервер имен полномочным для данной зоны.

Почему это происходит?


Если мы попытаемся игнорировать ошибку (в любом случае нажмите ОК), мы получим следующее сообщение об ошибке:

больше форвардера не получится.  :(

Журнал запросов по-прежнему показывает, что вышестоящий сервер только запрашивает . IN SOA. Никогда не делается попытка проверить, является ли сервер авторитетным для example.com..

Андрей Б
источник
2
Проверка не пройдена, но работает ли условный сервер пересылки независимо? (Я имею в виду, вы можете просто проигнорировать ошибку?)
Райан Райс
@Ryan Я обновил вопрос с помощью диалогового окна с сообщением об ошибке, которое появляется, когда администраторы все равно пытаются добавить сервер пересылки.
Андрей Б,
1
@AndrewB Я пытался воспроизвести это на 2012 и 2012R2, но не получилось. Первоначальная ошибка проверки показана (и я вижу странный запрос для . IN SOA), но нажатие «ОК», кажется, работает (дальнейшие ошибки не отображаются). Может быть, второе полученное вами сообщение об ошибке не связано со странным поведением проверки? Работает Add-DnsServerConditionalForwarderZone(powershell) или выдает более полезное сообщение об ошибке?
Хокан Линдквист
@ Håkan Вероятно, первое предупреждение не связано, и мы сосредоточимся на втором.
Андрей B
@ Håkan Часть беспорядка заключалась в том, что они, по-видимому, пытались добавить сервер пересылки, используя имя сервера во время первой попытки, что приводит к появлению окна OK и препятствует их продолжению. (в отличие от скриншота выше) Оставшаяся проблема не связана с этой проблемой, и я собираюсь закрыть вопросы и ответы. Пожалуйста, преобразуйте свой комментарий о сбивающем с толку поведении проверки, чтобы я мог дать вам кредит.
Андрей Б,

Ответы:

2

Я пытался воспроизвести это на Windows 2012 и Windows 2012 R2, но не смог получить тот же конечный результат.

Я могу подтвердить первоначальную ошибку проверки ( во время проверки сервера произошла неизвестная ошибка ), и я вижу странный запрос . IN SOA, но нажатие кнопки «ОК» в этот момент работает (дальнейшие ошибки не отображаются, а зона пересылки добавлено).

Похоже, что второе сообщение об ошибке, с которым вы столкнулись ( возникла проблема при попытке добавить условного сервера пересылки. Произошла ошибка конфигурации зоны. ), Может не иметь отношения к странному поведению проверки.

Я не могу точно сказать, почему он выполняет свою проверку на основе запроса, . IN SOAно, похоже, это в основном косметическая проблема, поскольку вам не мешают продолжить работу, несмотря на ошибку проверки.

Хокан Линдквист
источник
-1

я столкнулся с той же проблемой и исправил благодарность за бога. проблема в том, что IP-адрес DNS на карте NIC в основном домене должен быть в предпочтительном (IP-адрес первичного домена), а альтернативный (вторичный DC) для всех вторичных: в предпочтительном (IP-адрес второго домена) и альтернатива (первичный DC). попробуйте это решение и отправьте свой отзыв. Благодарю.

Айман Халил
источник