Microsoft DNS の動作がおかしい

Microsoft DNS の動作がおかしい

Microsoft DNS でこの奇妙な問題が発生しています。

基本的に、domain.com はスプリット ホライズン設定 (外部パブリック DNS と内部 DNS の両方が別々のゾーンに対して権限を持つ) になっていますが、理由は聞かないでください。私がここに来たときはこのようでした。

この AD には、内部ゾーンの DNS サーバーとして機能する 3 つのドメイン コントローラーがあります。さらに、これらの AD サーバーにクエリを転送し、結果をキャッシュする 2 つの DNS サーバーがあります。

さらに、外部パブリック DNS サーバーにのみ存在する別のドメイン example.com もあります。

さて、問題は次のようになります。AD サーバーは、subdomain.example.com という名前で問題を抱えています。権威サーバーがレコードを持たないときに行うように、「ドメイン名が見つかりません」というクエリを返します。ただし、クライアントの DNS フォワーダーはクエリを解決します。

外部的にはすべて正常に動作し、subdomain.example.com は www3.domain.com の CNAME に解決されます。

ただし、問題はゾーン全体ではなく、特定のサブドメインにのみ存在します。www.example.com は、www3.domain.com の CNAME として内部的にも外部的にも解決されます。

では、ゾーンに対して権限を持たない DNS サーバーは、レコードが見つからないことをどのようにして応答できるのでしょうか?

回避策として、subdomain.example.com の新しいゾーンを作成し、www3.domain.com のレコードと同一の A レコードを追加しました。そして 1 時間後、このレコードは消えてしまいました。

もう諦めてヤギ農家になろうかと思っています。:)

答え1

説明文から流れが理解しづらいのですが…

外部側のドメインに再帰サーバーと権限サーバーを別々に用意し、内部 DC がサーバー転送を使用して外部の再帰サーバーを指すようにすることをお勧めします。

DNSサーバーフロー

この設定は、一般にスプリット DNS と呼ばれます。1 つの利点は、内部クライアントに、外部クライアントとは異なる特定のアドレスに応答するように強制できることです。もう 1 つの利点は、DNS フローのトラブルシューティングをより簡単にできることです。

質問にお答えすると、ゾーンに対して権限のないサーバーは、ゾーンに対する権限のある回答が見つからない場合、レコードが見つからないと表示することがあります。DC DNS が再帰ルックアップを実行できないという問題が発生している可能性があります。DC 上のサーバー転送が有効になっており、再帰 DNS サーバーに転送されていることを確認してください。次に、再帰サーバーがグローバル ヒントを正しく使用していることを確認してください。

NSlookup を試して、コマンドでサーバーを設定しserver = IP、各サーバーが何を見ることができるかを順番にテストすることができます。

関連情報