(免责声明:我不是 Windows DNS 管理员。但我确实拥有相当多的 DNS 经验,这没有任何意义。我正在与负责这些设备的管理员密切合作,并可以根据需要进行测试。)
我们遇到了一个问题,我们无法在 Windows Server 2012 下添加指向 BIND 名称服务器的条件转发器。添加服务器的 IP 地址会导致验证错误:An unknown error occurred while validating the server.
查看 BIND 服务器上的查询日志,我们发现了一些相当有趣的东西:Windows DNS 服务器正在查询. IN SOA,即根名称服务器的 SOA 记录。example.com. IN SOA根本没有查询。它尝试查询根权限,但在收到 的响应后停止REFUSED。
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
太疯狂了。为了搞笑,我们在实验室中重现了这个问题。我下载了根区域的副本并配置了一个.区域(注释掉了我的根提示),结果,这个错误不再发生。
我真的不明白。我提供的是权威名称服务器,它不应该提供答案. SOA,就目前情况而言,我必须将此区域添加到我们所有的生产服务器中,才能与 Windows 2012 很好地配合使用。根据我的经验,转发器应该仅有的关注目标名称服务器是否对相关区域具有权威性。
为什么会发生这种情况?
如果我们尝试忽略错误(仍然单击“确定”),我们会看到以下错误对话框:
查询日志仍然显示上游服务器仅请求. IN SOA。从未尝试查看服务器是否对 具有权威性example.com.。
答案1
我尝试在 Windows 2012 和 Windows 2012 R2 上重现此问题,但无法获得相同的最终结果。
我可以确认初始验证错误(验证服务器时发生未知错误。),我可以看到奇怪的查询. IN SOA,但此时单击“确定”似乎可以工作(没有显示进一步的错误并且添加了转发区域)。
看来您遇到的第二条错误消息(尝试添加条件转发器时出现问题。出现区域配置问题。) 可能与奇怪的验证行为无关。
我真的不知道为什么它会根据查询进行验证,. IN SOA但这似乎主要是外观问题,因为尽管验证失败,但您仍无法继续进行。
答案2
我也遇到了同样的问题,但已解决,感谢上帝。问题在于,主域中的 NIC 卡上的 DNS IP 必须在首选(主域 IP)中,而替代是(辅助 DC)对于所有辅助:在首选(辅助域 IP)中,而替代是(主 DC)。尝试此解决方案并发送您的反馈。谢谢。