Windows 2012 tidak dapat memvalidasi penerusan tanpa zona root?


12

(Penafian: Saya bukan admin Windows DNS. Saya memiliki cukup banyak pengalaman DNS di bawah ikat pinggang saya, dan ini tidak masuk akal. Saya bekerja sama dengan admin yang bertanggung jawab untuk perangkat ini dan dapat melakukan tes yang dilakukan sebagai dibutuhkan.)

Kami telah mengalami masalah di mana kami tidak dapat menambahkan conditional forwarder yang mengarah ke server nama BIND di Windows Server 2012. Menambahkan alamat IP server menghasilkan kesalahan validasi: An unknown error occurred while validating the server.

penerus gagal.  :(

Melihat log kueri pada server BIND, kami menemukan sesuatu yang agak menarik: server DNS Windows meminta . IN SOA, yaitu catatan SOA untuk server nama root. Tidak ada permintaan example.com. IN SOAsama sekali. Ia mencoba untuk meminta otoritas root dan tidak melanjutkan ketika menerima respons REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Kegilaan. Untuk menghiburnya, kami mereproduksi masalah ini di lab. Saya mengunduh salinan zona root dan mengkonfigurasi .zona (mengomentari petunjuk root saya), dan lihatlah, kesalahan ini tidak lagi terjadi.

Saya benar-benar tidak mengerti. Saya menyediakan server nama resmi yang tidak harus memberikan jawaban . SOA, dan karena itu saya harus menambahkan zona ini ke semua server produksi kami hanya untuk bermain baik dengan Windows 2012. Dalam pengalaman saya, sebuah forwarder hanya harus peduli dengan apakah server nama target otoritatif untuk zona yang bersangkutan.

Mengapa ini terjadi?


Jika kami mencoba mengabaikan kesalahan (klik OK saja), kami mendapatkan dialog kesalahan berikut:

lebih banyak penerus gagal.  :(

Log kueri masih menunjukkan bahwa server upstream hanya meminta . IN SOA. Tidak pernah ada upaya untuk melihat apakah server memiliki otorisasi untuk example.com..


2
Validasi gagal, tetapi apakah forwarder bersyarat berfungsi terlepas? (Maksudku, bisakah kamu mengabaikan kesalahan itu?)
Ryan Ries

@Ryan Saya telah memperbarui pertanyaan dengan dialog kesalahan yang muncul ketika admin mencoba untuk menambahkan forwarder.
Andrew B

1
@AndrewB Saya mencoba mereproduksi ini pada 2012 dan 2012R2 tetapi gagal. Kesalahan validasi awal ditampilkan (dan saya dapat melihat permintaan aneh . IN SOA) tetapi mengklik "OK" tampaknya berfungsi (tidak ada kesalahan lebih lanjut ditampilkan). Mungkin pesan kesalahan kedua yang Anda dapatkan tidak terkait dengan perilaku validasi aneh? Apakah Add-DnsServerConditionalForwarderZone(PowerShell) berfungsi atau menghasilkan pesan kesalahan yang lebih bermanfaat?
Håkan Lindqvist

@ Håkan Kemungkinan peringatan pertama adalah suara yang tidak terkait dan kami akan fokus pada yang kedua.
Andrew B

@ Håkan Bagian dari kebingungan adalah bahwa mereka tampaknya mencoba untuk menambahkan forwarder menggunakan nama server selama upaya pertama, yang melakukan hantu kotak OK dan mencegah mereka dari melanjutkan. (Berbeda dengan tangkapan layar di atas) Masalah yang tersisa tidak terkait dengan masalah ini dan saya akan menutup T&J. Harap konversi komentar Anda tentang perilaku validasi yang membingungkan menjadi jawaban sehingga saya dapat memberi Anda kredit.
Andrew B

Jawaban:


2

Saya mencoba mereproduksi ini pada Windows 2012 dan Windows 2012 R2 tetapi tidak bisa mendapatkan hasil akhir yang sama.

Saya dapat mengkonfirmasi kesalahan validasi awal (Kesalahan tidak diketahui terjadi saat memvalidasi server. ), Dan saya dapat melihat permintaan aneh untuk . IN SOA, tetapi mengklik "OK" pada saat itu tampaknya berfungsi (tidak ada kesalahan lebih lanjut ditampilkan dan zona penerusan adalah ditambahkan).

Tampaknya pesan kesalahan kedua yang Anda temui ( Terjadi masalah saat mencoba menambahkan kondisional forwarder. Terjadi masalah konfigurasi zona. ) Mungkin tidak terkait dengan perilaku validasi aneh.

Saya benar-benar tidak tahu mengapa ia melakukan validasinya berdasarkan pada kueri untuk . IN SOAtetapi tampaknya sebagian besar masalah kosmetik karena Anda tidak dicegah melanjutkan meskipun gagal validasi.


-1

Saya menghadapi masalah yang sama dan tetap berterima kasih kepada Tuhan. masalah itu dalam semacam DNS IP pada kartu NIC dalam domain Primer harus dalam yang disukai (IP domain Primer) dan alternatifnya adalah (DC kedua) untuk semua sekunder: dalam yang disukai (IP domain kedua) dan alternatifnya adalah (DC Primer). coba solusi ini dan kirim tanggapan Anda. Terima kasih.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.