J'ai deux contrôleurs de domaine Windows.
10.10.10.10 Primaire (victoire 2008 r2)
10.10.10.20 Réplique (victoire 2012 r2)
Le second est configuré comme une réplique du premier.
Environ une fois par semaine, le contrôleur de domaine principal mettra en cache de manière négative la plupart des .io
domaines. Cela permet à personne dans l'entreprise d'accéder à des sites tels que:
chef.io
packer.io
yahoo.io
github.io
Étrangement, je peux toujours accéder à certaines pages .io, comme celles de github.io
La solution consiste à RDP dans le serveur DNS et à exécuter dnscmd /clearcache
. Cela résout le problème pendant 7 à 10 jours.
D'autres symptômes
- N'affecte que le contrôleur de domaine principal (le contrôleur de domaine secondaire et les autres contrôleurs de domaine peuvent très bien résoudre ces sites)
- les serveurs Google DNS fonctionnent également
- Se produit habituellement vers 11 h le mercredi.
Je ne connais pas très bien les fenêtres, mais voici les choses que j'ai essayées
- Regardez les journaux, je ne vois que les lignes suivantes qui semblent intéressantes
8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.
8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa was found at the DNS server at 10.254.40.51. Zone transfer is in progress.ic replication between domain controllers in a common domain or forest. By installing multiple domain controllers in a domain running DNS Server, you can ensure that DNS will continue to work when a domain co
- Vérifiez qu'il n'y a pas de zone de recherche directe ou inversée pour le domaine .io
- Assurez-vous que rien dans le fichier d'hôtes ne bloque le domaine .io
- Comparez la sortie de
ipconfig /displaydns
sur tous les contrôleurs de domaine
Y a-t-il autre chose que je peux étudier pour savoir pourquoi le cache DNS continue de se corrompre de manière prévisible? Existe-t-il un paramètre DNS Windows qui peut vider le cache de force lors du transfert de zone
Mise à jour
J'ai limité cela au fait que je passe souvent du filaire au sans fil juste avant la réunion de mercredi. Le sans fil a 1 serveur DNS Windows 2008 et 1 serveur DNS Windows 2012. Lorsque le serveur 2008 est sélectionné comme serveur principal, le problème revient. La solution de contournement consiste à exécuter cela dnscmd /clearcache
. Depuis que le serveur 2008 s'en va, je suis sûr que ce problème se résoudra.
io
TLD s'encombraient, ou qu'un périphérique réseau en amont qui n'était pas partagé avec le DC secondaire se détraquait en raison de politiques d'inspection approfondies des paquets. Assurez-vous qu'il n'y a aucune zone sur le contrôleur de domaine principal qui pourrait interférer avec les serveurs de noms en amont pour ce TLD. (.
,io
,net
,ac
,uk
,co.uk
,ns13.net
,nic.io
,nic.ac
,icb.co.uk
,communitydns.net
) Stupide sons, mais les gens font parfois des choses très braindead lors d'une tentative d'utiliser leur DC comme solution de firewalling DNS.Réponses:
Pensez à mettre à jour votre fichier root.hints. Peut-être que cela pointe vers d'anciens serveurs de noms racine qui (pour une raison quelconque) ne renvoient pas de domaines .io.
Peut-être que vous avez un problème de routage qui empêche d'y accéder (c'est-à-dire: vous trouez la plage IP sur laquelle ils s'exécutent), ce qui empêche de rechercher les domaines à l'intérieur. Celui-ci est mon pari - vous avez peut-être une règle de pare-feu contre un pays ou un bloc IP. Utilisez mes résultats ci-dessous pour vérifier votre pare-feu ou faire une recherche dig / nsearch pour les serveurs .io TLD (vous pouvez télécharger un binaire pour Windows à partir de http://www.isc.org/downloads/
Pouvez-vous accéder directement à tous ces serveurs DNS? Par exemple, votre serveur DNS peut utiliser à plusieurs reprises le premier de la liste. Gardez à l'esprit que cette liste est à un moment (en ce moment) et change, mais devrait vous donner un point initial pour voir si vous pouvez atteindre les serveurs de noms de racine .io.
Si vous utilisez des redirecteurs, testez directement une recherche ns vers ces redirecteurs. S'il ne revient pas, contactez la personne qui les gère (votre FAI).
==== Mise à jour: Compte tenu de votre mise à jour, où vous remarquez que cela se produit lorsque vous changez de FAI, je suppose que l'une de vos connexions utilise IPv6 et l'autre est uniquement compatible IPv4? Il se peut qu'il mette en cache l'adresse de retour IPv6, mais ce n'est plus accessible une fois que vous avez changé de connexion.
la source