Windows 2012 не может проверять серверы пересылки без корневой зоны?

(Отказ от ответственности: я не являюсь администратором Windows DNS. У меня за плечами приличный опыт работы с DNS, и это не имеет никакого смысла. Я тесно сотрудничаю с администраторами, ответственными за эти устройства, и могу проводить тесты как необходимо.)

Мы столкнулись с проблемой, из-за которой мы не можем добавить серверы условной пересылки, которые указывают на серверы имен BIND под Windows Server 2012. Добавление IP-адреса сервера приводит к ошибке проверки: An unknown error occurred while validating the server.

Просматривая журнал запросов на сервере BIND, мы обнаружили кое-что довольно интересное: DNS-сервер Windows запрашивал . IN SOA, то есть запись SOA для корневых серверов имен. Нет запроса для example.com. IN SOA вообще. Он пытается запросить корневые полномочия и не продолжает, когда получает ответ REFUSED.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

Безумие. Чтобы шутить, мы воспроизвели эту проблему в лаборатории. Я скачал копию корневой зоны и настроил . zone (комментируя мои корневые подсказки), и о чудо, эта ошибка больше не возникает.

Я действительно этого не понимаю. Я предоставляю авторитетный сервер имен, который не должен отвечать на . SOA, и в сложившейся ситуации мне придется добавить эту зону ко всем нашим производственным серверам, чтобы хорошо работать с Windows 2012. По моему опыту, пересылка должна только беспокоиться о том, является ли целевой сервер имен полномочным для рассматриваемой зоны.

Почему это происходит?

Если мы попытаемся проигнорировать ошибку (в любом случае нажмите OK), мы получим следующий диалог с ошибкой:

Журнал запросов по-прежнему показывает, что вышестоящий сервер запрашивает только . IN SOA. Никогда не делается попыток проверить, является ли сервер полномочным для example.com..