Active Directory 设置:
单林,3 个域,每个域有 1 个域控制器。全部运行服务器 2008 R2,具有相同的域/林功能级别。
DNS 客户端配置如下:
DC1 -> DC2 (主要), DC1 (次要)
DC2 -> DC1 (主要), DC2 (次要)
DC3 -> DC1 (主要), DC3 (次要)
所有区域都在整个林中复制,并且每个 DNS 服务器都设置 8.8.8.8/8.8.4.4 作为转发器。
问题:
一切似乎都按预期运行。 AD 正在正确复制,DNS 响应迅速且未导致任何问题,但是当我运行 dcdiag /test:dns 时,企业 DNS 测试在 DC2 和 DC3 上失败,并出现以下错误:
测试:转发器/根提示 (Forw) 错误:转发器列表中的所有转发器均无效。
错误:根提示和转发器均未配置或
已损坏。请确保至少有一个能正常工作。
症状:
事件查看器不断显示 DNS 客户端的以下 2 个事件 ID:
ID 1017 - DNS 服务器对名称 INTERNAL RECORD 查询的响应表明没有可用的查询类型的记录,但可能表明存在同一名称的其他记录。
ID 1019 - 目前此主机上的任何接口均未配置 IPv6 DNS 服务器。请配置 DNS 服务器设置,或更新您的动态 IP 设置。(奇怪,因为网卡上已禁用 IPv6)
nslookup 工作正常,无论我选择使用哪个 DNS 服务器,都能找到 ID 1017 中出现的所有记录。
运行 dcdiag 时,会出现以下事件:
事件 ID 10009:DCOM 无法使用任何配置的协议与计算机 8.8.4.4 通信。
DCOM 无法使用任何已配置的协议与计算机 8.8.8.8 进行通信。
事件 ID 1014:由于所有配置的 DNS 服务器均未响应,因此名称 1.0.0.127.in-addr.arpa 的名称解析超时。
我在 dcdiag 运行测试时运行了 wireshark,内部 DNS 服务器确实解决了向其抛出的任何问题,但随后服务器继续查询 Google DNS 和根提示。
到底发生了什么?我错过了什么?
编辑:实际的企业 DNS 测试错误消息是:
Summary of test results for DNS servers used by the above domain
controllers:
DNS server: 128.63.2.53 (h.root-servers.net.)
1 test failure on this DNS server
Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 128.63.2.53
DNS server: 128.8.10.90 (d.root-servers.net.)
1 test failure on this DNS server
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 128.8.10.90 Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 128.8.10.90
DNS server: 192.112.36.4 (g.root-servers.net.)
1 test failure on this DNS server
Name resolution is not functional. _ldap._tcp.domain1.local. failed on the DNS server 192.112.36.4
等等等等
答案1
在 Windows DC 上启用 IPv6。只需这样做。您可以修改 DNS 服务器属性以仅侦听 ipv4 接口。
确保端口 53 通过 UDP 向 Google DNS 服务器开放和TCP(顺便说一句,最好使用上游的 DNS 服务,而不是 Google)。您可以使用 PortQry 来检查它。
在“转发器”选项卡上,取消勾选盒子Use root hints if no forwarders are available。
请记住,它dcdiag /test:dns包含很多子测试。我的测试总是显示委派错误,即使委派没有问题。
分别尝试/DNSBasic、/DNSForwarders和 /DnsResolveExtName测试。
(而且您早就该放弃 Server 2008 R2 了。它将于明年 1 月完全停止使用,这意味着没有安全更新。)