Windows 2012 ne peut pas valider les redirecteurs sans zone racine?

12

(Avertissement: je ne suis pas un administrateur DNS Windows. J'ai cependant une bonne expérience DNS à mon actif, et cela n'a aucun sens. Je travaille en étroite collaboration avec les administrateurs responsables de ces appareils et je peux effectuer des tests en tant que nécessaire.)

Nous avons rencontré un problème où nous ne pouvons pas ajouter de redirecteurs conditionnels qui pointent vers des serveurs de noms BIND sous Windows Server 2012. L'ajout de l'adresse IP du serveur entraîne une erreur de validation: An unknown error occurred while validating the server.

le transitaire échoue.  :(

En regardant le journal des requêtes sur le serveur BIND, nous avons trouvé quelque chose d'assez intéressant: le serveur DNS Windows demandait . IN SOA, c'est-à-dire l'enregistrement SOA pour les serveurs de noms racine. Pas de requête du example.com. IN SOAtout. Il tente d'interroger l'autorité racine et ne continue pas lorsqu'il reçoit une réponse de REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

La démence. Pour l'humour, nous avons reproduit ce problème en laboratoire. J'ai téléchargé une copie de la zone racine et configuré une .zone (commentant mes indices racine), et voilà, cette erreur ne se produit plus.

Je ne comprends vraiment pas ça. Je fournis un serveur de noms faisant autorité qui ne devrait pas avoir à fournir de réponses . SOAet, en l'état actuel des choses, je vais devoir ajouter cette zone à tous nos serveurs de production juste pour bien jouer avec Windows 2012. D'après mon expérience, un transitaire doit seulement se préoccuper de savoir si le serveur de noms cible ou non fait autorité pour la zone en question.

Pourquoi cela arrive-t-il?


Si nous essayons d'ignorer l'erreur (cliquez sur OK quand même), nous obtenons la boîte de dialogue d'erreur suivante:

plus de transitaire échouent.  :(

Le journal des requêtes montre toujours que le serveur en amont demande uniquement . IN SOA. Il n'y a jamais de tentative pour voir si le serveur fait autorité pour example.com..

Andrew B
la source
2
La validation échoue, mais le redirecteur conditionnel fonctionne-t-il malgré tout? (Je veux dire, pouvez-vous simplement ignorer l'erreur?)
Ryan Ries
@Ryan J'ai mis à jour la question avec la boîte de dialogue d'erreur qui apparaît quand les administrateurs tentent quand même d'ajouter le transitaire.
Andrew B
1
@AndrewB J'ai essayé de reproduire cela sur 2012 et 2012R2 mais j'ai échoué. L'erreur de validation initiale est affichée (et je peux voir l'étrange requête pour . IN SOA) mais en cliquant sur "OK" semble fonctionner (aucune autre erreur n'est affichée). Peut-être que le deuxième message d'erreur que vous obtenez n'est pas lié à l'étrange comportement de validation? Est-ce que Add-DnsServerConditionalForwarderZone(PowerShell) fonctionne ou produit un message d'erreur plus utile?
Håkan Lindqvist
@ Håkan Le premier avertissement étant sans rapport semble probable et nous nous concentrerons sur le second.
Andrew B
@ Håkan Une partie de la confusion résidait dans le fait qu'ils essayaient apparemment d'ajouter le transitaire en utilisant le nom du serveur lors de la première tentative, ce qui rend la boîte OK fantôme et les empêche de continuer. (par opposition à la capture d'écran ci-dessus) Le problème restant n'est pas lié à ce problème et je vais fermer le Q & A. Veuillez convertir votre commentaire sur le comportement de validation déroutant en une réponse afin que je puisse vous en attribuer le mérite.
Andrew B

Réponses:

2

J'ai essayé de reproduire cela sur Windows 2012 et Windows 2012 R2 mais je n'ai pas pu obtenir le même résultat final.

Je peux confirmer l'erreur de validation initiale ( Une erreur inconnue s'est produite lors de la validation du serveur. ), Et je peux voir l'étrange requête pour . IN SOA, mais cliquer sur "OK" à ce stade semble fonctionner (aucune autre erreur n'est affichée et la zone de transfert est ajoutée).

Il semble que le deuxième message d'erreur que vous avez rencontré ( Un problème s'est produit lors de la tentative d'ajout du redirecteur conditionnel. Un problème de configuration de zone s'est produit. ) Ne soit pas lié à l'étrange comportement de validation.

Je ne peux pas vraiment dire pourquoi il effectue sa validation sur la base d'une requête, . IN SOAmais cela semble être principalement un problème esthétique car vous n'êtes pas empêché de continuer malgré l'échec de la validation.

Håkan Lindqvist
la source
-1

j'étais confronté au même problème et fixé merci pour le dieu. le problème qu'il était dans le type d'IP DNS sur la carte NIC dans le domaine principal doit être dans le préféré (IP du domaine principal) et l'alternative est (secondry DC) pour tous les secondaires: dans le préféré (IP du domaine secondaire) et l'alternative est (DC primaire). essayez cette solution et envoyez vos commentaires. Merci.

Ayman Khalil
la source