Назад | Перейти на главную страницу

Microsoft DNS ведет себя странно

У меня такая странная проблема с Microsoft DNS.

По сути, у нас есть domain.com, который настроен с разделением горизонта (внешний общедоступный DNS и внутренний DNS являются полномочными для отдельных зон), не спрашивайте меня, почему, когда я приехал сюда, это было именно так.

В этом AD у нас есть 3 контроллера домена, которые служат DNS-серверами для внутренних зон. Кроме того, у нас есть 2 DNS-сервера, которые перенаправляют запросы на эти серверы AD и кэшируют результаты.

Кроме того, у нас есть еще один домен, example.com, который находится только на наших внешних публичных DNS-серверах.

Теперь к проблеме; Серверы AD столкнулись с проблемой с именем subdomain.example.com. Ответные запросы с «доменное имя не может быть найдено», как это делает полномочный сервер, когда у него нет записи. Однако серверы пересылки DNS для клиентов разрешают запрос.

Внешне все работает нормально, subdomain.example.com разрешается, как и должно, в CNAME для www3.domain.com

Однако проблема не во всей зоне, а только в этом конкретном субдомене. www.example.com разрешается как внутренне, так и внешне как CNAME для www3.domain.com.

Итак, как может DNS-сервер, не являющийся авторитетным для зоны, ответить, что запись не найдена?

В качестве обходного пути я создал новую зону для subdomain.example.com и добавил запись A, идентичную записи для www3.domain.com. А через час эта запись пропала?

Я близок к тому, чтобы сдаться и стать козоводом. :)

Мне сложно понять ваш поток из описания, но ...

Я бы посоветовал вам иметь отдельные рекурсивные и авторитетные серверы для вашего домена на внешней стороне и иметь внутренние контроллеры домена, указывающие на внешние рекурсивные серверы с пересылкой серверов.

Эта настройка обычно называется разделенным DNS. Одним из преимуществ является то, что вы можете заставить внутренних клиентов отвечать на определенные адреса иначе, чем внешние клиенты. Другое преимущество заключается в том, что вы можете более легко устранять неполадки с потоком DNS.

Чтобы ответить на ваш вопрос, сервер, не являющийся авторитетным для зоны, может сказать, что запись не найдена, если он не может найти авторитетный ответ для зоны. У вас может быть проблема с вашим DC DNS, который не может выполнять рекурсивный поиск. Убедитесь, что перенаправление сервера на контроллерах домена включено и идет на рекурсивные DNS-серверы. Затем убедитесь, что рекурсивные серверы правильно используют глобальные подсказки.

Вы можете поиграть с NSlookup, установив сервер с server = IP команда и тестирование каждого сервера по очереди на предмет того, что он видит.