¿Windows 2012 no puede validar reenviadores sin una zona raíz?

12

(Descargo de responsabilidad: no soy un administrador de DNS de Windows. Sin embargo, tengo una experiencia decente de DNS en mi haber, y esto no tiene ningún sentido. Estoy trabajando estrechamente con los administradores responsables de estos dispositivos y puedo realizar pruebas como necesario.)

Nos hemos encontrado con un problema en el que no podemos agregar reenviadores condicionales que apuntan a servidores de nombres BIND en Windows Server 2012. Agregar la dirección IP del servidor da como resultado un error de validación: An unknown error occurred while validating the server.

reenviador falla.  :(

Al observar el registro de consultas en el servidor BIND, encontramos algo bastante interesante: el servidor DNS de Windows estaba buscando . IN SOA, es decir, el registro SOA para los servidores de nombres raíz. Ninguna consulta para example.com. IN SOAnada. Intenta consultar la autoridad de raíz y no continúa cuando recibe una respuesta de REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Locura. Para humor, reproducimos este problema en el laboratorio. Descargué una copia de la zona raíz y configuré una .zona (comentando mis sugerencias de raíz), y he aquí, este error ya no ocurre.

Realmente no entiendo esto. Proporciono un servidor de nombres autorizado que no debería tener que proporcionar respuestas y . SOA, tal como están las cosas, voy a tener que agregar esta zona a todos nuestros servidores de producción solo para jugar bien con Windows 2012. En mi experiencia, un El reenviador solo debe preocuparse de si el servidor de nombres de destino es o no autorizado para la zona en cuestión.

¿Por qué está pasando esto?


Si intentamos ignorar el error (haga clic en Aceptar de todos modos), obtenemos el siguiente cuadro de diálogo de error:

más promotor falla.  :(

El registro de consultas aún muestra que el servidor ascendente solo está pidiendo . IN SOA. Nunca se intenta ver si el servidor tiene autoridad example.com..

Andrew B
fuente
2
La validación falla, pero ¿funciona el reenviador condicional independientemente? (Quiero decir, ¿puedes ignorar el error?)
Ryan Ries
@ Ryan He actualizado la pregunta con el cuadro de diálogo de error que aparece cuando los administradores intentan agregar el reenviador de todos modos.
Andrew B
1
@ AndrewB Traté de reproducir esto en 2012 y 2012R2 pero fallé. Se muestra el error de validación inicial (y puedo ver una consulta extraña . IN SOA) pero parece que hacer clic en "Aceptar" funciona (no se muestran más errores). ¿Quizás el segundo mensaje de error que recibe no está relacionado con el extraño comportamiento de validación? ¿ Add-DnsServerConditionalForwarderZoneFunciona (powershell) o produce un mensaje de error más útil?
Håkan Lindqvist
@ Håkan La primera advertencia no está relacionada parece probable y nos centraremos en la segunda.
Andrew B
@ Håkan Parte de la confusión fue que aparentemente intentaban agregar el reenviador utilizando el nombre del servidor durante el primer intento, lo que oculta el cuadro OK y evita que continúen. (a diferencia de la captura de pantalla anterior) El problema restante no está relacionado con este problema y voy a cerrar las preguntas y respuestas. Convierta su comentario sobre el comportamiento de validación confuso en una respuesta para que pueda darle crédito.
Andrew B

Respuestas:

2

Traté de reproducir esto en Windows 2012 y Windows 2012 R2 pero no pude obtener el mismo resultado final.

Puedo confirmar el error de validación inicial ( se produjo un error desconocido al validar el servidor ), y puedo ver la extraña consulta . IN SOA, pero al hacer clic en "Aceptar" en ese punto parece funcionar (no se muestran más errores y la zona de reenvío es adicional).

Parece que el segundo mensaje de error que encontró ( Se produjo un problema al intentar agregar el reenviador condicional. Se produjo un problema de configuración de zona ) puede no estar relacionado con el extraño comportamiento de validación.

Realmente no puedo decir por qué está haciendo su validación en función de una consulta, . IN SOApero parece ser principalmente un problema cosmético, ya que no se le impide continuar a pesar de la falla de validación.

Håkan Lindqvist
fuente
-1

Estaba enfrentando el mismo problema y arreglé las gracias por Dios. el problema que estaba en el tipo de IP de DNS en la tarjeta NIC en el dominio primario debe estar en el preferido (IP del dominio primario) y la alternativa es (secondry DC) para todo el secundario: en el preferido (IP del segundo dominio) y la alternativa es (DC primaria). pruebe esta solución y envíe sus comentarios. Gracias.

Ayman Khalil
fuente