DNS 条件转发器拒绝 _mcdcs.remote.domain 的请求
我有一台安装了 DNS 的本地 AD 服务器,名为 (adserver.mydomain.local)。为了允许与其他域建立信任关系,我们配置了许多到远程 AD 服务器的条件转发。除了一个之外,所有这些都运行良好:它正确地转发了大多数请求,但是当它收到 ._msdcs.remote.domain 的请求时,它会拒绝它而不尝试联系远程服务器,即使在清除 DNS 服务器缓存之后也是如此。此问题始于远程位置的 AD 服务器被替换之后。此 DNS 问题导致查找 _ldap._tcp.dc._msdcs.remote.domain SRV 记录失败,这会阻止 AD 信任正常工作,因为本地服务器可以找到 remote.domain 的登录服务器。
如果我直接对 remote.domain DNS 服务器执行 nslookup,它会正常工作,只有当请求通过条件转发器时才会出现此问题。这会影响本地域上的 Windows 2003 和 Windows 2008 AD 服务器。
使用 nslookup 的消息是“adserver.mydomain.local 找不到 _ldap._tcp.dc._msdcs.remote.domain:查询被拒绝”
查看网络跟踪,DNS 服务器返回“拒绝”响应。
为什么 DN 服务器会对 _msdcs.remote.domain 下的任何地址执行此操作?我该如何修复它?所有其他域的条件转发器均正常工作,只有这个域导致问题。_msdcs.remote.domain
如果我嗅探网络流量,它看起来像这样:
要求:
+ Udp: SrcPort = 59685, DstPort = DNS(53), Length = 57
- Dns: QueryId = 0x9, QUERY (Standard query), Query for _ldap._tcp.dc._msdcs.remote.domain of type SRV on class Internet
QueryIdentifier: 9 (0x9)
- Flags: Query, Opcode - QUERY (Standard query), RD, Rcode - Success
QR: (0...............) Query
Opcode: (.0000...........) QUERY (Standard query) 0
AA: (.....0..........) Not authoritative
TC: (......0.........) Not truncated
RD: (.......1........) Recursion desired
RA: (........0.......) Recursive query support not available
Zero: (.........0......) 0
AuthenticatedData: (..........0.....) Not AuthenticatedData
CheckingDisabled: (...........0....) Not CheckingDisabled
Rcode: (............0000) Success 0
QuestionCount: 1 (0x1)
AnswerCount: 0 (0x0)
NameServerCount: 0 (0x0)
AdditionalCount: 0 (0x0)
- QRecord: _ldap._tcp.dc._msdcs.sctcns.net of type SRV on class Internet
QuestionName: _ldap._tcp.dc._msdcs.remote.domain
QuestionType: SRV, Server Selection/NBSTAT, NetBIOS NODE STATUS, 33(0x21)
QuestionClass: Internet, 1(0x1)
回复:
+ Udp: SrcPort = DNS(53), DstPort = 59685, Length = 57
- Dns: QueryId = 0x9, QUERY (Standard query), Response - Refused
QueryIdentifier: 9 (0x9)
- Flags: Response, Opcode - QUERY (Standard query), AA, RD, RA, Rcode - Refused
QR: (1...............) Response
Opcode: (.0000...........) QUERY (Standard query) 0
AA: (.....1..........) Is authoritative
TC: (......0.........) Not truncated
RD: (.......1........) Recursion desired
RA: (........1.......) Recursive query support available
Zero: (.........0......) 0
AuthenticatedData: (..........0.....) Not AuthenticatedData
CheckingDisabled: (...........0....) Not CheckingDisabled
Rcode: (............0101) Refused 5
QuestionCount: 1 (0x1)
AnswerCount: 0 (0x0)
NameServerCount: 0 (0x0)
AdditionalCount: 0 (0x0)
- QRecord: _ldap._tcp.dc._msdcs.remote.domaint of type SRV on class Internet
QuestionName: _ldap._tcp.dc._msdcs.remote.domain
QuestionType: SRV, Server Selection/NBSTAT, NetBIOS NODE STATUS, 33(0x21)
QuestionClass: Internet, 1(0x1)
答案1
还有一些问题:您的转发器是 Microsoft DNS 服务器安装还是其他供应商的 DNS 服务器?您是否恰好在此服务器上有一个名为 remote.domain 的区域?您在哪里获取了上限?关于目标域的 DNS 服务器地址,转发配置是否仍然正确?
作为一种快速而肮脏的解决方法,您可以考虑对 remote.domain 进行区域传输或配置存根区域。