(Penafian: Saya bukan admin Windows DNS. Saya memiliki cukup banyak pengalaman DNS di bawah ikat pinggang saya, dan ini tidak masuk akal. Saya bekerja sama dengan admin yang bertanggung jawab untuk perangkat ini dan dapat melakukan tes yang dilakukan sebagai dibutuhkan.)
Kami telah mengalami masalah di mana kami tidak dapat menambahkan conditional forwarder yang mengarah ke server nama BIND di Windows Server 2012. Menambahkan alamat IP server menghasilkan kesalahan validasi: An unknown error occurred while validating the server.
Melihat log kueri pada server BIND, kami menemukan sesuatu yang agak menarik: server DNS Windows meminta . IN SOA
, yaitu catatan SOA untuk server nama root. Tidak ada permintaan example.com. IN SOA
sama sekali. Ia mencoba untuk meminta otoritas root dan tidak melanjutkan ketika menerima respons REFUSED
.
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
Kegilaan. Untuk menghiburnya, kami mereproduksi masalah ini di lab. Saya mengunduh salinan zona root dan mengkonfigurasi .
zona (mengomentari petunjuk root saya), dan lihatlah, kesalahan ini tidak lagi terjadi.
Saya benar-benar tidak mengerti. Saya menyediakan server nama resmi yang tidak harus memberikan jawaban . SOA
, dan karena itu saya harus menambahkan zona ini ke semua server produksi kami hanya untuk bermain baik dengan Windows 2012. Dalam pengalaman saya, sebuah forwarder hanya harus peduli dengan apakah server nama target otoritatif untuk zona yang bersangkutan.
Mengapa ini terjadi?
Jika kami mencoba mengabaikan kesalahan (klik OK saja), kami mendapatkan dialog kesalahan berikut:
Log kueri masih menunjukkan bahwa server upstream hanya meminta . IN SOA
. Tidak pernah ada upaya untuk melihat apakah server memiliki otorisasi untuk example.com.
.
. IN SOA
) tetapi mengklik "OK" tampaknya berfungsi (tidak ada kesalahan lebih lanjut ditampilkan). Mungkin pesan kesalahan kedua yang Anda dapatkan tidak terkait dengan perilaku validasi aneh? Apakah Add-DnsServerConditionalForwarderZone
(PowerShell) berfungsi atau menghasilkan pesan kesalahan yang lebih bermanfaat?