Назад | Перейти на главную страницу

dcdiag DNS-тест не проходит, но DNS работает нормально

Настройка Active Directory:

Единый лес, 3 домена, по 1 контроллеру домена. На всех запущенных серверах 2008 R2 с одинаковым функциональным уровнем домена / леса.

DNS-клиенты настраиваются следующим образом:

DC1 -> DC2 (первичный), DC1 (сек)

DC2 -> DC1 (первичный), DC2 (сек)

DC3 -> DC1 (первичный), DC3 (сек)

Все зоны реплицируются по всему лесу, и каждый DNS-сервер настроен с 8.8.8.8/8.8.4.4 в качестве серверов пересылки.

Проблема:

Кажется, все работает как надо. AD реплицируется правильно, DNS реагирует и не вызывает никаких проблем, НО, когда я запускаю dcdiag / test: dns, тест корпоративного DNS завершается неудачно на DC2 и DC3 со следующей ошибкой:

ТЕСТ: серверы пересылки / корневые подсказки (пересылка) Ошибка: все серверы пересылки в списке пересылки недопустимы.

Ошибка: корневые ссылки и серверы пересылки не настроены или

сломан. Убедитесь, что хотя бы один из них работает.

Симптомы:

Средство просмотра событий постоянно показывает эти два идентификатора события для DNS-клиента:

ID 1017 - ответ DNS-сервера на запрос имени ВНУТРЕННЯЯ ЗАПИСЬ указывает, что записи запрашиваемого типа недоступны, но может указывать на наличие других записей с таким же именем.

ID 1019 - в настоящее время нет DNS-серверов IPv6, настроенных для любого интерфейса на этом хосте. Настройте параметры DNS-сервера или обновите параметры динамического IP. (странно, так как на сетевой карте отключен IPv6)

nslookup работает должным образом и находит все записи, содержащиеся в ID 1017, независимо от того, какой DNS-сервер я выберу для использования.

Во время работы dcdiag появляются следующие события:

Идентификатор события 10009: DCOM не удалось связаться с компьютером 8.8.4.4 с использованием любого из настроенных протоколов.

DCOM не смог связаться с компьютером 8.8.8.8 с помощью любого из настроенных протоколов.

Событие с кодом 1014: время разрешения имени 1.0.0.127.in-addr.arpa истекло после того, как ни один из настроенных DNS-серверов не ответил.

Я запустил wirehark, пока dcdiag выполняет свой тест, и внутренние DNS-серверы разрешают все, что на них направлено, но затем сервер продолжает запрашивать Google DNS и корневые ссылки.

Что, черт возьми, происходит? Что мне здесь не хватает?

Изменить: фактические сообщения об ошибках теста корпоративного DNS:

         Summary of test results for DNS servers used by the above domain

     controllers:



        DNS server: 128.63.2.53 (h.root-servers.net.)

           1 test failure on this DNS server

           Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 128.63.2.53

        DNS server: 128.8.10.90 (d.root-servers.net.)

           1 test failure on this DNS server

           PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 128.8.10.90               Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 128.8.10.90

        DNS server: 192.112.36.4 (g.root-servers.net.)

           1 test failure on this DNS server

           Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 192.112.36.4

и т. д. и т. д.

Включите IPv6 на контроллерах домена Windows. Просто сделай это. Вы можете изменить свойства DNS-сервера, чтобы прослушивать только интерфейс ipv4.

Убедитесь, что порт 53 открыт для DNS-серверов Google через UDP. и TCP (кстати, лучше использовать любую DNS-службу, которая принадлежит вам, а не Google). Вы можете использовать PortQry, чтобы проверить это.

На вкладке "Экспедиторы" снять отметку коробка Use root hints if no forwarders are available.

Помните, что dcdiag /test:dns включает в себя множество подтестов. Мой всегда показывает ошибки делегирования, даже если с делегированием все в порядке.

Пытаться /DNSBasic, /DNSForwarders и /DnsResolveExtName тесты отдельно.

(И вам уже пора отказаться от Server 2008 R2. Срок его службы полностью истечет в январе следующего года, что означает отсутствие обновлений безопасности.)