Windows 2012 ileticileri kök bölgesi olmadan doğrulayamıyor mu?

12

(Feragatname: Ben bir Windows DNS yöneticisi değilim. Kemerimin altında iyi miktarda DNS deneyimim var ve bu bir anlam ifade etmiyor. Bu cihazlardan sorumlu yöneticilerle yakın çalışıyorum ve testleri gerçekleştirebiliyorum gerekli.)

Windows Server 2012 altında BIND ad sunucularına işaret eden koşullu ileticileri ekleyemediğimiz bir sorunla karşılaştık. Sunucunun IP adresini eklemek bir doğrulama hatasına neden olur: An unknown error occurred while validating the server.

iletici başarısız. :(

BIND sunucusundaki sorgu günlüğüne baktığımızda, oldukça ilginç bir şey bulduk: Windows DNS sunucusu soruyordu . IN SOA, yani kök ad sunucuları için SOA kaydı. İçin hiç sorgu yok example.com. IN SOA. Kök yetkisini sorgulamaya çalışır ve yanıt aldığında devam etmez REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Delilik. Mizah etmek için bu sorunu laboratuvarda yeniden ürettik. Kök bölgesinin bir kopyasını indirdim ve bir .bölgeyi yapılandırdım (kök ipuçlarımı yorumladım) ve bakalım, bu hata artık oluşmuyor.

Bunu gerçekten anlamadım. Cevap vermek zorunda kalmayacak yetkili bir ad sunucusu sağlıyorum . SOAve konu olarak, sadece Windows 2012 ile güzel oynamak için bu bölgeyi tüm üretim sunucularımıza eklemek zorunda kalacağım. iletici yalnızca hedef ad sunucusunun söz konusu bölge için yetkili olup olmadığıyla ilgilenmelidir.

Bu neden oluyor?

Hatayı yok saymaya çalışırsak (yine de Tamam'ı tıklayın), aşağıdaki hata iletişim kutusunu alırız:

daha fazla iletici başarısız. :(

Sorgu günlüğü hala yukarı akış sunucusunun yalnızca istediğini gösterir . IN SOA. Sunucunun yetkili olup olmadığını görmek için hiçbir zaman girişimde bulunulmaz example.com..

domain-name-system  windows-server-2012  bind  windows-dns 
Andrew B
kaynak
2
Doğrulama başarısız olur, ancak koşullu iletici ne olursa olsun çalışır mı? (Yani hatayı görmezden gelebilir misin?)
Ryan Ries
@Ryan Soruyu, yöneticiler ileticiyi yine de eklemeye çalıştığında açılan hata iletişim kutusuyla güncelledim.
Andrew B
1
@AndrewB Bunu 2012 ve 2012R2'de çoğaltmaya çalıştım ama başarısız oldum. İlk doğrulama hatası gösterilir (ve garip sorguyu görebiliyorum . IN SOA), ancak "Tamam" tıklatıldığında çalışıyor (başka hata gösterilmiyor). Belki de aldığınız ikinci hata mesajı garip doğrulama davranışıyla ilgisiz? Add-DnsServerConditionalForwarderZone(Powershell) çalışıyor mu veya daha yararlı bir hata mesajı veriyor mu ?
Håkan Lindqvist
@ Håkan İlgisiz olan ilk uyarı büyük olasılıkla kulağa geliyor ve ikincisine odaklanacağız.
Andrew B
Karışıklık Håkan tarafım, görünüşe göre, hangi ilk denemesi sırasında sunucu adını kullanarak iletici ekleme girişimi olmasıydı @ yapar Tamam kutusu hayalet ve onları devam etmesini engeller. (yukarıdaki ekran görüntüsünün aksine) Kalan sorun bu sorunla ilgili değildir ve Soru-Cevap bölümünü kapatacağım. Size kredi verebilmem için lütfen kafa karıştırıcı doğrulama davranışı hakkındaki yorumunuzu bir cevaba dönüştürün.
Andrew B

Yanıtlar:

2

Bunu hem Windows 2012 hem de Windows 2012 R2'de çoğaltmaya çalıştım, ancak aynı sonucu elde edemedim.

İlk doğrulama hatasını onaylayabilirim ( Sunucuyu doğrularken bilinmeyen bir hata oluştu. ) Ve bunun için garip sorguyu görebiliyorum . IN SOA, ancak o noktada "Tamam" ı tıklamak işe yarıyor gibi görünüyor (başka hata gösterilmiyor ve yönlendirme bölgesi katma).

Karşılaştığınız ikinci hata iletisinin ( Koşullu iletici eklenmeye çalışılırken bir sorun oluştu. Bir bölge yapılandırma sorunu oluştu. ) Garip doğrulama davranışıyla ilgisiz olabilir.

Neden doğrulamasını bir sorguya dayalı olarak yaptığını söyleyemiyorum . IN SOAama doğrulama hatasına rağmen devam etmenizi engellediğiniz için çoğunlukla kozmetik bir sorun gibi görünüyor.

Håkan Lindqvist
kaynak
-1

Ben aynı sorunla karşı karşıya kaldım ve tanrıya şükrediyorum Birincil alandaki NIC kartındaki DNS IP'sindeki sorunun tercih edilen (Birincil alan IP'si) ve alternatif tüm ikincil için (ikinci DC) olması gerekir: tercih edilen (ikincil alan IP'si) ve alternatif (Birincil DC). bu çözümü deneyin ve geri bildiriminizi gönderin. Teşekkürler.

Ayman Khalil
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.