(免責事項: 私は Windows DNS 管理者ではありません。ただし、DNS の経験は十分にあります。このことは意味がありません。私はこれらのデバイスを担当する管理者と緊密に連携しており、必要に応じてテストを実行できます。)
Windows Server 2012 で BIND ネームサーバーを指す条件付きフォワーダーを追加できないという問題が発生しました。サーバーの IP アドレスを追加すると、検証エラーが発生します。An unknown error occurred while validating the server.
BIND サーバーのクエリ ログを見ると、興味深いことが分かりました。Windows DNS サーバーが. IN SOA、つまりルート ネームサーバーの SOA レコードをクエリしていました。 に対するクエリはexample.com. IN SOAまったく行われていません。ルート権限をクエリしようとしますが、 という応答を受信すると続行されませんREFUSED。
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
狂気です。面白がって、この問題をラボで再現してみました。ルート ゾーンのコピーをダウンロードし、.ゾーンを構成しました (ルート ヒントをコメント アウト)。すると、なんと、このエラーは発生しなくなりました。
本当に理解できません。私は権威あるネームサーバーを提供していますが、これは回答を提供する必要はなく. SOA、現状では、Windows 2012でうまく動作させるために、このゾーンをすべての運用サーバーに追加する必要があります。私の経験では、フォワーダーはのみ対象のネームサーバーが問題のゾーンに対して権限を持っているかどうかを考慮に入れる必要があります。
なぜこうなった?
エラーを無視しようとすると(とにかく「OK」をクリックする)、次のエラー ダイアログが表示されます。
クエリ ログには、依然としてアップストリーム サーバーが のみを要求していることが示されています. IN SOA。サーバーが に対して権限を持っているかどうかを確認する試みは行われませんexample.com.。
答え1
Windows 2012 と Windows 2012 R2 の両方でこれを再現しようとしましたが、同じ最終結果を得ることができませんでした。
初期検証エラーを確認できます(サーバーの検証中に不明なエラーが発生しました。) で、 の奇妙なクエリが表示されます. IN SOAが、その時点で [OK] をクリックすると機能するようです (それ以上のエラーは表示されず、転送ゾーンが追加されます)。
2番目に発生したエラーメッセージ(条件付きフォワーダーを追加しようとしたときに問題が発生しました。ゾーン構成の問題が発生しました。) は、奇妙な検証動作とは無関係である可能性があります。
クエリに基づいて検証が実行される理由はよくわかりません. IN SOAが、検証が失敗したにもかかわらず続行が妨げられることはないため、主に表面的な問題であると思われます。
答え2
私も同じ問題に直面していましたが、解決しました。神に感謝です。問題は、プライマリ ドメインの NIC カードの DNS IP が優先 (プライマリ ドメイン IP) で、代替が (セカンダリ DC) である必要があるというものでした。すべてのセカンダリでは、優先 (セカンダリ ドメイン IP) で、代替が (プライマリ DC) です。この解決策を試して、フィードバックをお送りください。ありがとうございます。