(Descargo de responsabilidad: no soy un administrador de DNS de Windows. Sin embargo, tengo una experiencia decente de DNS en mi haber, y esto no tiene ningún sentido. Estoy trabajando estrechamente con los administradores responsables de estos dispositivos y puedo realizar pruebas como necesario.)
Nos hemos encontrado con un problema en el que no podemos agregar reenviadores condicionales que apuntan a servidores de nombres BIND en Windows Server 2012. Agregar la dirección IP del servidor da como resultado un error de validación: An unknown error occurred while validating the server.
Al observar el registro de consultas en el servidor BIND, encontramos algo bastante interesante: el servidor DNS de Windows estaba buscando . IN SOA
, es decir, el registro SOA para los servidores de nombres raíz. Ninguna consulta para example.com. IN SOA
nada. Intenta consultar la autoridad de raíz y no continúa cuando recibe una respuesta de REFUSED
.
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
Locura. Para humor, reproducimos este problema en el laboratorio. Descargué una copia de la zona raíz y configuré una .
zona (comentando mis sugerencias de raíz), y he aquí, este error ya no ocurre.
Realmente no entiendo esto. Proporciono un servidor de nombres autorizado que no debería tener que proporcionar respuestas y . SOA
, tal como están las cosas, voy a tener que agregar esta zona a todos nuestros servidores de producción solo para jugar bien con Windows 2012. En mi experiencia, un El reenviador solo debe preocuparse de si el servidor de nombres de destino es o no autorizado para la zona en cuestión.
¿Por qué está pasando esto?
Si intentamos ignorar el error (haga clic en Aceptar de todos modos), obtenemos el siguiente cuadro de diálogo de error:
El registro de consultas aún muestra que el servidor ascendente solo está pidiendo . IN SOA
. Nunca se intenta ver si el servidor tiene autoridad example.com.
.
. IN SOA
) pero parece que hacer clic en "Aceptar" funciona (no se muestran más errores). ¿Quizás el segundo mensaje de error que recibe no está relacionado con el extraño comportamiento de validación? ¿Add-DnsServerConditionalForwarderZone
Funciona (powershell) o produce un mensaje de error más útil?Respuestas:
Traté de reproducir esto en Windows 2012 y Windows 2012 R2 pero no pude obtener el mismo resultado final.
Puedo confirmar el error de validación inicial ( se produjo un error desconocido al validar el servidor ), y puedo ver la extraña consulta
. IN SOA
, pero al hacer clic en "Aceptar" en ese punto parece funcionar (no se muestran más errores y la zona de reenvío es adicional).Parece que el segundo mensaje de error que encontró ( Se produjo un problema al intentar agregar el reenviador condicional. Se produjo un problema de configuración de zona ) puede no estar relacionado con el extraño comportamiento de validación.
Realmente no puedo decir por qué está haciendo su validación en función de una consulta,
. IN SOA
pero parece ser principalmente un problema cosmético, ya que no se le impide continuar a pesar de la falla de validación.fuente
Estaba enfrentando el mismo problema y arreglé las gracias por Dios. el problema que estaba en el tipo de IP de DNS en la tarjeta NIC en el dominio primario debe estar en el preferido (IP del dominio primario) y la alternativa es (secondry DC) para todo el secundario: en el preferido (IP del segundo dominio) y la alternativa es (DC primaria). pruebe esta solución y envíe sus comentarios. Gracias.
fuente