(免责声明:我不是Windows DNS管理员。尽管我确实有相当不错的DNS经验,但这没有任何意义。我正在与负责这些设备的管理员紧密合作,并且可以通过需要。)
我们遇到了一个问题,即我们无法在Windows Server 2012下添加指向BIND名称服务器的条件转发器。添加服务器的IP地址会导致验证错误: An unknown error occurred while validating the server.
查看BIND服务器上的查询日志,我们发现了一些相当有趣的东西:Windows DNS服务器正在查询. IN SOA,即根名称服务器的SOA记录。完全没有查询example.com. IN SOA。它尝试查询根权限,并且在收到的响应时不会继续REFUSED。
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
疯狂。为了幽默起见,我们在实验室中重现了这个问题。我下载了一个根区域的副本并配置了一个.区域(注释了我的根提示),瞧瞧,这个错误不再发生。
我真的不明白这一点。我提供的权威名称服务器不必提供对的答案. SOA,而且就目前的情况而言,我将不得不将该区域添加到我们所有的生产服务器中,以便与Windows 2012完美搭配。转发者仅应关注目标名称服务器是否对该区域具有权威性。
为什么会这样呢?
如果我们尝试忽略该错误(仍然单击“确定”),则会显示以下错误对话框:
查询日志仍然显示上游服务器仅在询问. IN SOA。永远不会尝试查看服务器是否具有权威性example.com.。
2
验证失败,但是条件转发器是否起作用?(我的意思是您可以忽略错误吗?)
—
Ryan Ries 2015年
@Ryan我已经用管理员试图添加转发器时弹出的错误对话框更新了问题。
—
安德鲁B
@AndrewB我试图在2012和2012R2上都重现此操作,但失败了。显示了初始验证错误(并且我可以看到的奇怪查询
—
哈坎·林德奎斯特
. IN SOA),但是单击“确定”似乎可以工作(没有显示其他错误)。也许您收到的第二条错误消息与奇怪的验证行为无关?不Add-DnsServerConditionalForwarderZone(PowerShell的)工作或产生一个更实用的错误讯息?
@Håkan第一个警告可能是无关紧要的,我们将重点关注第二个警告。
—
安德鲁B
@Håkan造成混淆的部分原因是,他们显然是在第一次尝试期间尝试使用服务器名称添加转发器,这确实使OK框出现问题并阻止了它们继续。(与上面的屏幕截图相反),剩下的问题与该问题无关,我将结束问答。请将您对令人困惑的验证行为的评论转换为答案,以便我能给您功劳。
—
安德鲁B