O Windows 2012 não pode validar encaminhadores sem uma zona raiz?

12

(Isenção de responsabilidade: eu não sou um administrador de DNS do Windows. No entanto, tenho uma experiência decente em DNS, e isso não faz nenhum sentido. Estou trabalhando em estreita colaboração com os administradores responsáveis ​​por esses dispositivos e pode realizar os testes conforme necessário. necessário.)

Corremos um problema em que não podemos adicionar encaminhadores condicionais que apontam para servidores de nomes BIND no Windows Server 2012. A adição do endereço IP do servidor resulta em um erro de validação: An unknown error occurred while validating the server.

encaminhador falhar.  :(

Observando o log de consultas no servidor BIND, descobrimos algo bastante interessante: o servidor DNS do Windows estava consultando . IN SOA, ou seja, o registro SOA para os servidores de nomes raiz. Nenhuma consulta para example.com. IN SOAtodos. Ele tenta consultar a autoridade root e não continua quando recebe uma resposta de REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Loucura. Para o humor, reproduzimos esse problema no laboratório. Baixei uma cópia da zona raiz e configurei uma .zona (comentando minhas dicas de raiz) e eis que este erro não ocorre mais.

Eu realmente não entendo isso. Estou fornecendo um servidor de nomes autoritativo que não precisa fornecer respostas e . SOA, como é o caso, terei que adicionar essa zona a todos os nossos servidores de produção para jogar bem com o Windows 2012. Na minha experiência, um O remetente deve se preocupar apenas se o servidor de nomes de destino é ou não autorizado para a zona em questão.

Por que isso está acontecendo?


Se tentarmos ignorar o erro (clique em OK de qualquer maneira), obteremos a seguinte caixa de diálogo de erro:

mais encaminhador falhar.  :(

O log de consulta ainda mostra que o servidor upstream está solicitando apenas . IN SOA. Nunca há uma tentativa de verificar se o servidor é autorizado example.com..

Andrew B
fonte
2
A validação falha, mas o encaminhador condicional funciona independentemente? (Quero dizer, você pode simplesmente ignorar o erro?)
Ryan Ries
@Ryan Atualizei a pergunta com a caixa de diálogo de erro que aparece quando os administradores tentam adicionar o encaminhador de qualquer maneira.
Andrew B
1
@AndrewB Tentei reproduzir isso em 2012 e 2012R2, mas falhei. O erro de validação inicial é mostrado (e posso ver a consulta estranha . IN SOA), mas clicar em "OK" parece funcionar (nenhum erro adicional é mostrado). Talvez a segunda mensagem de erro recebida não esteja relacionada ao estranho comportamento de validação? Does Add-DnsServerConditionalForwarderZone(PowerShell) trabalhar ou produzir uma mensagem de erro mais útil?
Håkan Lindqvist
@ Håkan O primeiro aviso não relacionado parece provável e vamos nos concentrar no segundo.
Andrew B
@ Håkan Parte da confusão foi que eles aparentemente tentavam adicionar o encaminhador usando o nome do servidor durante a primeira tentativa, o que mostra a caixa OK e impede que eles continuem. (em oposição à captura de tela acima) O problema restante não está relacionado a esse problema e vou fechar as perguntas e respostas. Converta seu comentário sobre o comportamento confuso da validação em uma resposta para que eu possa lhe dar crédito.
Andrew B

Respostas:

2

Tentei reproduzir isso no Windows 2012 e no Windows 2012 R2, mas não consegui o mesmo resultado final.

Posso confirmar o erro de validação inicial ( ocorreu um erro desconhecido ao validar o servidor. ) E vejo a consulta estranha . IN SOA, mas clicar em "OK" nesse momento parece funcionar (nenhum erro adicional é mostrado e a zona de encaminhamento é adicionado).

Parece que a segunda mensagem de erro que você encontrou ( Ocorreu um problema ao tentar adicionar o encaminhador condicional. Ocorreu um problema de configuração da zona. ) Pode não estar relacionada ao comportamento estranho da validação.

Eu realmente não sei dizer por que ele está fazendo sua validação com base em uma consulta, . IN SOAmas parece ser principalmente um problema estético, pois você não é impedido de prosseguir, apesar da falha na validação.

Håkan Lindqvist
fonte
-1

Eu estava enfrentando o mesmo problema e resolvi agradecer a Deus. o problema estava no tipo de IP DNS na placa de NIC no domínio Primário deve estar no preferido (IP do domínio primário) e a alternativa é (DC secundário) para todo o secundário: no preferido (IP do domínio secundário) e a alternativa é (CD primário). tente esta solução e envie seus comentários. obrigado.

Ayman Khalil
fonte