Windows 2012 non può convalidare i server d'inoltro senza una zona radice?

12

(Dichiarazione di non responsabilità: non sono un amministratore DNS di Windows. Ho comunque una discreta esperienza DNS al mio attivo e questo non ha alcun senso. Sto lavorando a stretto contatto con gli amministratori responsabili di questi dispositivi e posso fare in modo che i test vengano eseguiti come necessario.)

Si è verificato un problema in cui non è possibile aggiungere server di inoltro condizionati che puntano a server dei nomi BIND in Windows Server 2012. L'aggiunta dell'indirizzo IP del server provoca un errore di convalida: An unknown error occurred while validating the server.

spedizioniere fallito. :(

Guardando il registro delle query sul server BIND, abbiamo trovato qualcosa di piuttosto interessante: il server DNS di Windows stava eseguendo una query . IN SOA, ovvero il record SOA per i nameserver root. Nessuna domanda per example.com. IN SOAtutti. Tenta di richiedere l'autorità root e non continua quando riceve una risposta di REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Follia. Per assecondarlo, abbiamo riprodotto questo problema in laboratorio. Ho scaricato una copia della zona radice e configurato una .zona (commentando i miei suggerimenti di root), ed ecco, questo errore non si verifica più.

Davvero non capisco questo. Sto fornendo un server dei nomi autorevole a cui non è necessario fornire risposte . SOAe, per il resto, dovrò aggiungere questa zona a tutti i nostri server di produzione solo per giocare bene con Windows 2012. Nella mia esperienza, un lo spedizioniere dovrebbe preoccuparsi solo se il nameserver di destinazione è o meno autorevole per la zona in questione.

Perché sta succedendo?

Se proviamo a ignorare l'errore (fare clic su OK comunque), viene visualizzata la seguente finestra di dialogo di errore:

più spedizionieri falliscono. :(

Il registro delle query mostra ancora che il server upstream richiede solo . IN SOA. Non c'è mai un tentativo di vedere se il server è autorevole per example.com..

domain-name-system  windows-server-2012  bind  windows-dns 
Andrew B
fonte
2
La convalida ha esito negativo, ma lo spedizioniere condizionale funziona indipendentemente? (Voglio dire, puoi semplicemente ignorare l'errore?)
Ryan Ries,
@Ryan Ho aggiornato la domanda con la finestra di dialogo di errore che viene visualizzata quando gli amministratori tentano comunque di aggiungere lo spedizioniere.
Andrew B,
1
@AndrewB Ho provato a riprodurlo su 2012 e 2012R2 ma non ci sono riuscito. Viene visualizzato l'errore di convalida iniziale (e posso vedere la strana query per . IN SOA) ma facendo clic su "OK" sembra funzionare (non vengono mostrati ulteriori errori). Forse il secondo messaggio di errore che ricevi non è correlato allo strano comportamento di convalida? Fa Add-DnsServerConditionalForwarderZone(PowerShell) sia di lavoro o di produrre un messaggio di errore più utile?
Håkan Lindqvist,
@ Håkan Il primo avvertimento non correlato sembra probabile e ci concentreremo sul secondo.
Andrew B,
@ Håkan Parte della confusione era che apparentemente stavano tentando di aggiungere lo spedizioniere usando il nome del server durante il primo tentativo, il che fa apparire la casella OK e impedisce loro di continuare. (al contrario dello screenshot sopra) Il problema rimanente non è correlato a questo problema e ho intenzione di chiudere le domande e risposte. Converti il ​​tuo commento sul comportamento di convalida confuso in una risposta in modo che io possa darti credito.
Andrew B,

Risposte:

2

Ho provato a riprodurre questo su Windows 2012 e Windows 2012 R2 ma non sono riuscito a ottenere lo stesso risultato finale.

Posso confermare l'errore di convalida iniziale (si è verificato un errore sconosciuto durante la convalida del server ) e posso vedere la strana query per . IN SOA, ma facendo clic su "OK" a quel punto sembra funzionare (non vengono mostrati ulteriori errori e la zona di inoltro è aggiunto).

Sembra che il secondo messaggio di errore riscontrato (si è verificato un problema durante il tentativo di aggiungere il server d'inoltro condizionale. Si è verificato un problema di configurazione della zona. ) Potrebbe non essere correlato allo strano comportamento di convalida.

Non riesco davvero a capire perché stia eseguendo la convalida in base a una query, . IN SOAma sembra essere principalmente un problema estetico in quanto non ti viene impedito di procedere nonostante l'errore di convalida.

Håkan Lindqvist
fonte
-1

stavo affrontando lo stesso problema e risolto grazie per il dio. il problema era nel tipo di IP DNS sulla scheda NIC nel dominio primario deve essere nel preferito (IP del dominio primario) e l'alternativa è (DC di seconda mano) per tutto il secondario: nel preferito (IP di dominio secondario) e l'alternativa è (DC principale). prova questa soluzione e invia il tuo feedback. Grazie.

Ayman Khalil
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.