プライマリDNSサーバーを切断せずにDNSフォワーダーをテストするにはどうすればよいですか?
リモートオフィス(ヨーロッパと中国)のドメインに2つのドメインコントローラーがあり、米国に2つのドメインコントローラーがあり、合計4つあります。数週間前に米国のオフィスでネットワークが停止しましたが、この間、ヨーロッパと中国のオフィスでDNSが機能しないという問題が発生しました。問題の一部は、中国のサーバーにフォワーダーIPアドレスが設定されておらず、ヨーロッパのサーバーに設定されていることだと思いますが、それは米国のローカルISP向けでした。
これらのサーバー上のDNSフォワーダーのIPアドレスにいくつかの変更を加えて遊んでみたいのですが、変更によって問題が解決するかどうかをテストする方法がわかりません。これらのリモートDCをここ米国のプライマリDNSサーバーから切断することは避けたいと思います。すべてが正常に稼働しているので、Webサイトを検索したり、ブラウザーでWebサイトにアクセスしたりすると、プライマリDNSサーバーのみが使用されます。DNSフォワーダーのIPアドレスが機能しているかどうかを具体的にテストするにはどうすればよいですか。
事前に感謝します、私がより多くの情報を与えるか、何かを明確にすることができるかどうか私に知らせてください
インシデントを繰り返さないと、トラブルシューティングを行うことはできません。もう一度発生させない限り、DNSトラフィックで何が問題になったのかを知る方法はありません。
あなたの問題の説明を考えると、私のお金はあなたが推測したように「間違ったまたは行方不明のフォワーダー」にあります。
あなたが説明しているように、ヨーロッパのサーバーがフォワーダーとして米国のサーバーを指している場合、いくつかの次善の結果があります。
- あなたがゾーンを要求するときはいつでも、ヨーロッパのサーバーはそれについて知らないのでアメリカに尋ねます。
- アメリカは知らないので、フォワーダーであるかどうかを尋ねます(ルートに到達するまで続きます)。
- アメリカは答えを得て、それをヨーロッパに送り返します。
それは海を渡る少なくとも2回の旅行です-素晴らしいではありません。そして、アメリカのネームサーバーがなくなった場合、ヨーロッパには誰も尋ねることができません。
最良の結果を得るには、各地域のネームサーバーにすべての内部ゾーンがあり、他の誰かにレコードを要求する必要がある場合は、近くのフォワーダーで構成する必要があります。
これにより、アップストリームプロバイダーのキャッシュを利用でき、ドメインが破損した場合でも、外部DNS名を解決できます。
これをどのようにテストできますか? Unixでは、Digツール(Dig +trace)。
これは私が知る限りWindowsには含まれていませんが、 利用可能な実装があります (Google Dig for windowsその他のオプション)。
+traceオプションは、回答を取得する過程でどのサーバーが照会されたかを示します。
特記事項
代替フォワーダー(またはルートサーバーを直接)を使用することをお勧めする状況がいくつかあります-DNS要求をハイジャックし、存在しないドメイン名に対してNXDOMAINを適切に返さないISPがある場合DNSサーバーを使用しないでください。
そのようなISPがある場合は、代わりに代替フォワーダー( Google Public DNS など)を構成するか、ルートヒントを使用して、ヒントデータを最新の状態に保つようにしてください。
言うべきことがたくさんあります。
外部DNS解決にフォワーダーを使用するのはなぜですか?あなたは失敗のポイントを導入し、あなたが選んだフォワーダーからおそらく奇妙な結果を導入しています。外部DNS解決を提供するために外部ISPに依存するのはなぜですか?代わりにルートヒントサーバーを使用してください。
フォワーダーの機能をテストする場合は、nslookupを使用して直接クエリを実行します。
「これらのリモートDCをここ米国のプライマリDNSサーバーから切断することは避けたい」というあなたの発言は意味がありません。 「切断」とはどういう意味ですか?
Windows DNSサーバーがフォワーダーを使用するように構成されていない場合、デフォルトではルートヒントサーバーが使用されます。
この問題が発生したとき、どのような種類のDNSの問題がありましたか?内部DNS解決または外部DNS解決の失敗でしたか?