(Haftungsausschluss: Ich bin kein Windows-DNS-Administrator. Ich habe jedoch eine anständige Menge an DNS-Erfahrung, und dies macht keinen Sinn. Ich arbeite eng mit den für diese Geräte verantwortlichen Administratoren zusammen und kann Tests durchführen lassen erforderlich.)
Wir haben ein Problem festgestellt, bei dem wir unter Windows Server 2012 keine bedingten Weiterleitungen hinzufügen können, die auf BIND-Nameserver verweisen. Das Hinzufügen der IP-Adresse des Servers führt zu einem Validierungsfehler: An unknown error occurred while validating the server.
Beim Betrachten des Abfrageprotokolls auf dem BIND-Server fanden wir etwas ziemlich Interessantes: Der Windows-DNS-Server hat nach . IN SOA
dem SOA-Eintrag für die Root-Nameserver gefragt. Überhaupt keine Abfrage example.com. IN SOA
. Es versucht, die Root-Berechtigung abzufragen, und wird nicht fortgesetzt, wenn eine Antwort von empfangen wird REFUSED
.
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
Wahnsinn. Um es zu verdeutlichen, haben wir dieses Problem im Labor reproduziert. Ich habe eine Kopie der Root-Zone heruntergeladen und eine .
Zone konfiguriert (meine Root-Hinweise auskommentiert), und siehe da, dieser Fehler tritt nicht mehr auf.
Ich verstehe das wirklich nicht. Ich stelle einen autorisierenden Nameserver bereit, auf den keine Antworten gegeben werden müssen . SOA
, und aus heutiger Sicht muss ich diese Zone allen unseren Produktionsservern hinzufügen, um mit Windows 2012 gut zu spielen. Nach meiner Erfahrung a Der Weiterleiter sollte sich nur damit befassen, ob der Ziel-Nameserver für die betreffende Zone maßgeblich ist oder nicht.
Warum passiert dies?
Wenn wir versuchen, den Fehler zu ignorieren (klicken Sie trotzdem auf OK), wird der folgende Fehlerdialog angezeigt:
Das Abfrageprotokoll zeigt weiterhin an, dass der Upstream-Server nur nachfragt . IN SOA
. Es wird nie versucht festzustellen, ob der Server autorisiert ist example.com.
.
. IN SOA
), aber das Klicken auf "OK" scheint zu funktionieren (es werden keine weiteren Fehler angezeigt). Vielleicht hängt die zweite Fehlermeldung, die Sie erhalten, nicht mit dem seltsamen Validierungsverhalten zusammen? FunktioniertAdd-DnsServerConditionalForwarderZone
(Powershell) entweder oder erzeugt es eine hilfreichere Fehlermeldung?Antworten:
Ich habe versucht, dies sowohl unter Windows 2012 als auch unter Windows 2012 R2 zu reproduzieren, konnte jedoch nicht das gleiche Endergebnis erzielen.
Ich kann den anfänglichen Validierungsfehler bestätigen ( bei der Validierung des Servers ist ein unbekannter Fehler aufgetreten. ), Und ich kann die seltsame Abfrage für sehen
. IN SOA
, aber das Klicken auf "OK" an diesem Punkt scheint zu funktionieren (es werden keine weiteren Fehler angezeigt und die Weiterleitungszone ist hinzugefügt).Es scheint, dass die zweite Fehlermeldung, auf die Sie gestoßen sind ( Beim Versuch, die bedingte Weiterleitung hinzuzufügen, ist ein Problem aufgetreten. Ein Problem mit der Zonenkonfiguration ist aufgetreten. ), Nicht mit dem seltsamen Validierungsverhalten zusammenhängt.
Ich kann nicht wirklich sagen, warum die Validierung anhand einer Abfrage für durchgeführt wird,
. IN SOA
aber es scheint sich hauptsächlich um ein kosmetisches Problem zu handeln, da Sie trotz des Validierungsfehlers nicht daran gehindert werden, fortzufahren.quelle
Ich hatte das gleiche Problem und danke für den Gott. Das Problem, das es bei der Art der DNS-IP auf der NIC-Karte in der Primärdomäne gab, muss in der bevorzugten (Primärdomänen-IP) liegen, und die Alternative ist (Secondry-DC) für alle sekundären: in der bevorzugten (Sekundärdomänen-IP). und die Alternative ist (Primary DC). Probieren Sie diese Lösung aus und senden Sie Ihr Feedback. Vielen Dank.
quelle