web-dev-qa-db-ja.com

Windows 2012はルートゾーンがないとフォワーダーを検証できませんか?

(免責事項:私はWindows DNS管理者ではありません。かなりの量のDNSの経験がありますが、これは意味がありません。これらのデバイスを担当する管理者と緊密に連携しており、テストを次のように実行できます必要です。)

Windows Server 2012でBINDネームサーバーを指す条件付きフォワーダーを追加できないという問題が発生しました。サーバーのIPアドレスを追加すると、検証エラーが発生します:An unknown error occurred while validating the server.

forwarder fail. :(

BINDサーバーのクエリログを見ると、Windows DNSサーバーが. IN SOA、つまりルートネームサーバーのSOAレコード)を照会していることがわかりました。 example.com. IN SOAを実行します。ルート権限を照会しようとし、REFUSEDの応答を受信して​​も続行しません。

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

狂気。ユーモアを込めて、この問題をラボで再現しました。ルートゾーンのコピーをダウンロードし、.ゾーン(ルートヒントをコメント化)を構成しました。見れば、このエラーは発生しなくなりました。

これは本当にわかりません。私は. SOAへの回答を提供する必要のない信頼できるネームサーバーを提供しています。問題として、このゾーンをすべての本番サーバーに追加して、Windows 2012でうまく機能させる必要があります。私の経験では、フォワーダーは、ターゲットネームサーバーが問題のゾーンに対して権限があるかどうかについてonlyを考慮する必要があります。

なぜこうなった?

エラーを無視しようとすると(とにかく[OK]をクリックします)、次のエラーダイアログが表示されます。

more forwarder fail. :(

クエリログには、アップストリームサーバーが. IN SOAのみを要求していることが依然として示されています。サーバーがexample.com.に対して権限があるかどうかを確認する試みはありません。

domain-name-systemwindows-server-2012bindwindows-dns
12
Andrew B

Windows 2012とWindows 2012 R2の両方でこれを再現しようとしましたが、同じ最終結果を得ることができませんでした。

最初の検証エラーを確認できます(サーバーの検証中に不明なエラーが発生しました。)。. IN SOAの奇妙なクエリが表示されますが、その時点で[OK]をクリックすると、動作します(それ以上のエラーは表示されず、転送ゾーンが追加されます)。

発生した2番目のエラーメッセージ(条件付きフォワーダーを追加しようとしたときに問題が発生しました。ゾーン構成の問題が発生しました。)は、奇妙な検証動作とは無関係である可能性があります。

なぜ. IN SOAのクエリに基づいて検証を行っているのか、実際にはわかりませんが、検証の失敗にもかかわらず続行できないわけではないため、ほとんどの場合表面的な問題であるようです。

2
Håkan Lindqvist