Windows 2012 kann Weiterleitungen ohne Stammzone nicht validieren?

12

(Haftungsausschluss: Ich bin kein Windows-DNS-Administrator. Ich habe jedoch eine anständige Menge an DNS-Erfahrung, und dies macht keinen Sinn. Ich arbeite eng mit den für diese Geräte verantwortlichen Administratoren zusammen und kann Tests durchführen lassen erforderlich.)

Wir haben ein Problem festgestellt, bei dem wir unter Windows Server 2012 keine bedingten Weiterleitungen hinzufügen können, die auf BIND-Nameserver verweisen. Das Hinzufügen der IP-Adresse des Servers führt zu einem Validierungsfehler: An unknown error occurred while validating the server.

Weiterleitung scheitern.  :(

Beim Betrachten des Abfrageprotokolls auf dem BIND-Server fanden wir etwas ziemlich Interessantes: Der Windows-DNS-Server hat nach . IN SOAdem SOA-Eintrag für die Root-Nameserver gefragt. Überhaupt keine Abfrage example.com. IN SOA. Es versucht, die Root-Berechtigung abzufragen, und wird nicht fortgesetzt, wenn eine Antwort von empfangen wird REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Wahnsinn. Um es zu verdeutlichen, haben wir dieses Problem im Labor reproduziert. Ich habe eine Kopie der Root-Zone heruntergeladen und eine .Zone konfiguriert (meine Root-Hinweise auskommentiert), und siehe da, dieser Fehler tritt nicht mehr auf.

Ich verstehe das wirklich nicht. Ich stelle einen autorisierenden Nameserver bereit, auf den keine Antworten gegeben werden müssen . SOA, und aus heutiger Sicht muss ich diese Zone allen unseren Produktionsservern hinzufügen, um mit Windows 2012 gut zu spielen. Nach meiner Erfahrung a Der Weiterleiter sollte sich nur damit befassen, ob der Ziel-Nameserver für die betreffende Zone maßgeblich ist oder nicht.

Warum passiert dies?


Wenn wir versuchen, den Fehler zu ignorieren (klicken Sie trotzdem auf OK), wird der folgende Fehlerdialog angezeigt:

weitere Spediteure scheitern.  :(

Das Abfrageprotokoll zeigt weiterhin an, dass der Upstream-Server nur nachfragt . IN SOA. Es wird nie versucht festzustellen, ob der Server autorisiert ist example.com..

Andrew B.
quelle
2
Die Validierung schlägt fehl, aber funktioniert die bedingte Weiterleitung trotzdem? (Ich meine, können Sie den Fehler einfach ignorieren?)
Ryan Ries
@ Ryan Ich habe die Frage mit dem Fehlerdialog aktualisiert, der angezeigt wird, wenn die Administratoren versuchen, die Weiterleitung trotzdem hinzuzufügen.
Andrew B
1
@ AndrewB Ich habe versucht, dies sowohl auf 2012 als auch auf 2012R2 zu reproduzieren, aber es ist fehlgeschlagen. Der anfängliche Validierungsfehler wird angezeigt (und ich kann die seltsame Abfrage für sehen . IN SOA), aber das Klicken auf "OK" scheint zu funktionieren (es werden keine weiteren Fehler angezeigt). Vielleicht hängt die zweite Fehlermeldung, die Sie erhalten, nicht mit dem seltsamen Validierungsverhalten zusammen? Funktioniert Add-DnsServerConditionalForwarderZone(Powershell) entweder oder erzeugt es eine hilfreichere Fehlermeldung?
Håkan Lindqvist
@ Håkan Die erste Warnung, die nichts damit zu tun hat, klingt wahrscheinlich und wir konzentrieren uns auf die zweite.
Andrew B
@ Håkan Eines Teil der Verwirrung war , dass sie offenbar, die versuchen , den Spediteur mit dem Servernamen im ersten Versuch hinzuzufügen tut Geist Feld des OK und sie daran hindern , weiterhin. (im Gegensatz zum obigen Screenshot) Das verbleibende Problem hat nichts mit diesem Problem zu tun und ich werde die Fragen und Antworten schließen. Bitte wandeln Sie Ihren Kommentar zum verwirrenden Validierungsverhalten in eine Antwort um, damit ich Ihnen Anerkennung zollen kann.
Andrew B

Antworten:

1

Ich habe versucht, dies sowohl unter Windows 2012 als auch unter Windows 2012 R2 zu reproduzieren, konnte jedoch nicht das gleiche Endergebnis erzielen.

Ich kann den anfänglichen Validierungsfehler bestätigen ( bei der Validierung des Servers ist ein unbekannter Fehler aufgetreten. ), Und ich kann die seltsame Abfrage für sehen . IN SOA, aber das Klicken auf "OK" an diesem Punkt scheint zu funktionieren (es werden keine weiteren Fehler angezeigt und die Weiterleitungszone ist hinzugefügt).

Es scheint, dass die zweite Fehlermeldung, auf die Sie gestoßen sind ( Beim Versuch, die bedingte Weiterleitung hinzuzufügen, ist ein Problem aufgetreten. Ein Problem mit der Zonenkonfiguration ist aufgetreten. ), Nicht mit dem seltsamen Validierungsverhalten zusammenhängt.

Ich kann nicht wirklich sagen, warum die Validierung anhand einer Abfrage für durchgeführt wird, . IN SOAaber es scheint sich hauptsächlich um ein kosmetisches Problem zu handeln, da Sie trotz des Validierungsfehlers nicht daran gehindert werden, fortzufahren.

Håkan Lindqvist
quelle
-1

Ich hatte das gleiche Problem und danke für den Gott. Das Problem, das es bei der Art der DNS-IP auf der NIC-Karte in der Primärdomäne gab, muss in der bevorzugten (Primärdomänen-IP) liegen, und die Alternative ist (Secondry-DC) für alle sekundären: in der bevorzugten (Sekundärdomänen-IP). und die Alternative ist (Primary DC). Probieren Sie diese Lösung aus und senden Sie Ihr Feedback. Vielen Dank.

Ayman Khalil
quelle