(Haftungsausschluss: Ich bin kein Windows-DNS-Administrator. Ich verfüge jedoch über eine beträchtliche Erfahrung mit DNS, und das hier ergibt keinen Sinn. Ich arbeite eng mit den für diese Geräte verantwortlichen Administratoren zusammen und kann bei Bedarf Tests durchführen lassen.)
Wir sind auf ein Problem gestoßen, bei dem wir unter Windows Server 2012 keine bedingten Weiterleitungen hinzufügen können, die auf BIND-Nameserver verweisen. Das Hinzufügen der IP-Adresse des Servers führt zu einem Validierungsfehler:An unknown error occurred while validating the server.
Beim Betrachten des Abfrageprotokolls auf dem BIND-Server haben wir etwas ziemlich Interessantes festgestellt: Der Windows-DNS-Server hat nach abgefragt . IN SOA, also dem SOA-Eintrag für die Stamm-Nameserver. example.com. IN SOAÜberhaupt keine Abfrage nach. Er versucht, die Stammautorität abzufragen und fährt nicht fort, wenn er eine Antwort von erhält REFUSED.
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
Wahnsinn. Um dem Ganzen einen Scherz zu machen, haben wir das Problem im Labor reproduziert. Ich habe eine Kopie der Root-Zone heruntergeladen und eine .Zone konfiguriert (meine Root-Hinweise auskommentiert) und siehe da, dieser Fehler tritt nicht mehr auf.
Ich verstehe das wirklich nicht. Ich stelle einen autoritativen Nameserver bereit, der keine Antworten auf geben muss . SOA, und so wie die Dinge stehen, muss ich diese Zone zu allen unseren Produktionsservern hinzufügen, nur um gut mit Windows 2012 zu funktionieren. Meiner Erfahrung nach sollte ein ForwardernurBedenken Sie, ob der Ziel-Nameserver für die betreffende Zone autoritär ist oder nicht.
Warum passiert das?
Wenn wir versuchen, den Fehler zu ignorieren (trotzdem auf OK klicken), erhalten wir den folgenden Fehlerdialog:
Das Abfrageprotokoll zeigt weiterhin, dass der Upstream-Server nur anfordert . IN SOA. Es wird nie versucht zu prüfen, ob der Server für autorisiert ist example.com..
Antwort1
Ich habe versucht, dies sowohl unter Windows 2012 als auch unter Windows 2012 R2 zu reproduzieren, konnte jedoch nicht dasselbe Endergebnis erzielen.
Ich kann den anfänglichen Validierungsfehler bestätigen (Beim Validieren des Servers ist ein unbekannter Fehler aufgetreten.), und ich sehe die seltsame Abfrage für . IN SOA, aber wenn ich an dieser Stelle auf „OK“ klicke, scheint es zu funktionieren (es werden keine weiteren Fehler angezeigt und die Weiterleitungszone wird hinzugefügt).
Es scheint, dass die zweite Fehlermeldung, die Ihnen angezeigt wurde (Beim Versuch, den bedingten Forwarder hinzuzufügen, ist ein Problem aufgetreten. Es ist ein Zonenkonfigurationsproblem aufgetreten.) hat möglicherweise nichts mit dem seltsamen Validierungsverhalten zu tun.
Ich kann nicht wirklich sagen, warum die Validierung auf der Grundlage einer Abfrage durchgeführt wird, . IN SOAaber es scheint sich hauptsächlich um ein kosmetisches Problem zu handeln, da Sie trotz des Validierungsfehlers nicht daran gehindert werden, fortzufahren.
Antwort2
ich hatte das gleiche Problem und habe es Gott sei Dank behoben. Das Problem bestand darin, dass die DNS-IP auf der NIC-Karte in der primären Domäne die bevorzugte (primäre Domänen-IP) sein muss und die Alternative (sekundärer DC) für alle sekundären ist: die bevorzugte (zweite Domänen-IP) und die Alternative ist (primärer DC). Probieren Sie diese Lösung aus und senden Sie uns Ihr Feedback. Danke.