(Oświadczenie: Nie jestem administratorem DNS systemu Windows. Mam za to sporo doświadczenia z DNS-em i to nie ma żadnego sensu. Ściśle współpracuję z administratorami odpowiedzialnymi za te urządzenia i mogę przeprowadzić testy jako potrzebne.)
Wystąpił problem polegający na tym, że nie możemy dodać warunkowych usług przesyłania dalej, które wskazują na serwery nazw BIND w systemie Windows Server 2012. Dodanie adresu IP serwera powoduje błąd sprawdzania poprawności: An unknown error occurred while validating the server.
Patrząc na dziennik zapytań na serwerze BIND, znaleźliśmy coś dość interesującego: serwer DNS systemu Windows pytał . IN SOA
, tj. Rekord SOA dla głównych serwerów nazw. example.com. IN SOA
W ogóle nie ma zapytania . Próbuje zapytać o uprawnienia administratora i nie kontynuuje działania po otrzymaniu odpowiedzi REFUSED
.
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
Szaleństwo. Aby to zrobić, odtworzyliśmy ten problem w laboratorium. Pobrałem kopię strefy głównej i skonfigurowałem .
strefę (komentując moje wskazówki dotyczące roota), i oto ten błąd już nie występuje.
Naprawdę tego nie rozumiem. Podaję autorytatywny serwer nazw, który nie powinien udzielać odpowiedzi . SOA
, a w tej chwili muszę dodać tę strefę do wszystkich naszych serwerów produkcyjnych, aby dobrze grać z systemem Windows 2012. Z mojego doświadczenia wynika, że spedytor powinien wyłącznie zajmować się, czy serwer nazw docelowa jest autorytatywny dla strefy w pytaniu.
Dlaczego to się dzieje?
Jeśli spróbujemy zignorować błąd (mimo to kliknij OK), pojawi się następujące okno dialogowe błędu:
Dziennik zapytań wciąż pokazuje, że serwer nadrzędny tylko o to prosi . IN SOA
. Nigdy nie ma próby sprawdzenia, czy serwer jest autorytatywny example.com.
.
. IN SOA
), ale kliknięcie przycisku „OK” wydaje się działać (nie są wyświetlane dalsze błędy). Może drugi otrzymany komunikat o błędzie nie jest związany z dziwnym zachowaniem sprawdzania poprawności? Czy Add-DnsServerConditionalForwarderZone
(powershell) albo działa, albo wyświetla bardziej pomocny komunikat o błędzie?