Настройка Active Directory:
Единый лес, 3 домена, по 1 контроллеру домена. На всех запущенных серверах 2008 R2 с одинаковым функциональным уровнем домена / леса.
DNS-клиенты настраиваются следующим образом:
DC1 -> DC2 (первичный), DC1 (сек)
DC2 -> DC1 (первичный), DC2 (сек)
DC3 -> DC1 (первичный), DC3 (сек)
Все зоны реплицируются по всему лесу, и каждый DNS-сервер настроен с 8.8.8.8/8.8.4.4 в качестве серверов пересылки.
Проблема:
Кажется, все работает как надо. AD реплицируется правильно, DNS реагирует и не вызывает никаких проблем, НО, когда я запускаю dcdiag / test: dns, тест корпоративного DNS завершается неудачно на DC2 и DC3 со следующей ошибкой:
ТЕСТ: серверы пересылки / корневые подсказки (пересылка) Ошибка: все серверы пересылки в списке пересылки недопустимы.
Ошибка: корневые ссылки и серверы пересылки не настроены или
сломан. Убедитесь, что хотя бы один из них работает.
Симптомы:
Средство просмотра событий постоянно показывает эти два идентификатора события для DNS-клиента:
ID 1017 - ответ DNS-сервера на запрос имени ВНУТРЕННЯЯ ЗАПИСЬ указывает, что записи запрашиваемого типа недоступны, но может указывать на наличие других записей с таким же именем.
ID 1019 - в настоящее время нет DNS-серверов IPv6, настроенных для любого интерфейса на этом хосте. Настройте параметры DNS-сервера или обновите параметры динамического IP. (странно, так как на сетевой карте отключен IPv6)
nslookup работает должным образом и находит все записи, содержащиеся в ID 1017, независимо от того, какой DNS-сервер я выберу для использования.
Во время работы dcdiag появляются следующие события:
Идентификатор события 10009: DCOM не удалось связаться с компьютером 8.8.4.4 с использованием любого из настроенных протоколов.
DCOM не смог связаться с компьютером 8.8.8.8 с помощью любого из настроенных протоколов.
Событие с кодом 1014: время разрешения имени 1.0.0.127.in-addr.arpa истекло после того, как ни один из настроенных DNS-серверов не ответил.
Я запустил wirehark, пока dcdiag выполняет свой тест, и внутренние DNS-серверы разрешают все, что на них направлено, но затем сервер продолжает запрашивать Google DNS и корневые ссылки.
Что, черт возьми, происходит? Что мне здесь не хватает?
Изменить: фактические сообщения об ошибках теста корпоративного DNS:
Summary of test results for DNS servers used by the above domain
controllers:
DNS server: 128.63.2.53 (h.root-servers.net.)
1 test failure on this DNS server
Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 128.63.2.53
DNS server: 128.8.10.90 (d.root-servers.net.)
1 test failure on this DNS server
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 128.8.10.90 Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 128.8.10.90
DNS server: 192.112.36.4 (g.root-servers.net.)
1 test failure on this DNS server
Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 192.112.36.4
и т. д. и т. д.
Включите IPv6 на контроллерах домена Windows. Просто сделай это. Вы можете изменить свойства DNS-сервера, чтобы прослушивать только интерфейс ipv4.
Убедитесь, что порт 53 открыт для DNS-серверов Google через UDP. и TCP (кстати, лучше использовать любую DNS-службу, которая принадлежит вам, а не Google). Вы можете использовать PortQry, чтобы проверить это.
На вкладке "Экспедиторы" снять отметку коробка Use root hints if no forwarders are available
.
Помните, что dcdiag /test:dns
включает в себя множество подтестов. Мой всегда показывает ошибки делегирования, даже если с делегированием все в порядке.
Пытаться /DNSBasic
, /DNSForwarders
и /DnsResolveExtName
тесты отдельно.
(И вам уже пора отказаться от Server 2008 R2. Срок его службы полностью истечет в январе следующего года, что означает отсутствие обновлений безопасности.)