none
2008R2での AD DNSの環境で、フォワーダーを使わずに外部ドメイン名を名前解決できない RRS feed

  • 質問

  • 初めまして。お世話になります。

    2008server R2 2台構成で Active Directory(AD)を構築し、
    ADにて管理していないゾーンについても名前解決できるようにしたいと思っています。

    これまで運用してきた2003serverでのADでは問題なく外部ドメイン名も名前解決できたのですが、
    移行するために新規に2008serverR2でdcpromoを利用してADを構築しつつDNSサービスを導入したところ、
    ADで構築したドメイン内のリソースレコードについては問題なく名前解決できるのですが、
    外部名、例えばwww.microsoft.comなどの名前解決ができなくなってしまいました。
    以下、現在の状況を箇条書きに書いてみます。

    ・ルートヒントファイル自体は存在している。(DNSサービスでプロパティのタブからルートヒントを確認できます。)
    ・しかし実際にはwww.microsoft.comどころかa.root-servers.net.などのルートサーバの名前も解決できない。
    ・IPv4アドレス直打ちでa.root-servers.net.にpingをうつと正常な反応が返ってくる。(ネットワーク的疎通はある。)
    ・同一セグメントに2003serverでDNSサーバを構築してそちらをフォワーダーで参照するように設定すると正常な名前解決結果が返ってくる。
    (ただし、フォワーダーのみのサーバを別途運用すると運用する手間・障害ポイント・コストも上がるため避けたい。)
    ・2008R2ではEDNS0により同様の問題が生じる場合があるという記事を見かけてのでEDNS0を無効化したが、効果なし。
    ・「フォワーダーが利用できない場合にルートヒントを使用する」はKBを参考にチェックをオフにしているがルートヒントを参照している気配はない。
    ・切り分けのためファイアーウォールはすべて無効としている。

    という状態なのですが、どこの設定漏れなのかわからずハマっています・・・。
    それとも2008serverR2ではAD環境と外部ドメイン名の名前解決は
    別サーバへのフォワーダーを利用しない限りできなくなったのでしょうか。

    ご存知の方いらっしゃったらよろしくお願いいたします。

    2013年9月17日 13:23

回答

  • チャブーンです。

    HomeCloset さんの回答に補足します(もう答えは言っていると思いますが)。

    Active Directoryを試験導入したがDNS名前解決ができないので、社内DNSにフォワーダしたらできるようになった、という場合、ネットワーク管理者の方で、ルータ等のフィルタ設定で、社内DNSサーバ以外の53/udp等の外部へ発呼を止めているから、なのではないでしょうか(ネットワーク管理者としては「不要なパケット発呼は行わせない」という運用は当たり前の話しです)。ルータ設定を確認いただくか、社内のネットワーク管理者にひとまずご相談ください。

    • 回答の候補に設定 佐伯玲 2013年9月25日 0:56
    • 回答としてマーク taxi_n 2013年10月3日 3:58
    2013年9月20日 3:12
    モデレータ
  • クライアントから問い合わせた時にサーバーからクエリーが出ていれば経路等の問題、出ていなければ内部状態の問題ではないでしょうか。
    http://technet.microsoft.com/ja-jp/library/cc759581(v=WS.10).aspx
    • 回答の候補に設定 佐伯玲 2013年10月3日 0:46
    • 回答としてマーク taxi_n 2013年10月3日 3:59
    2013年9月25日 15:42
  • ・…ルートヒントを参照している気配はない。

    「気配」とは、具体的に何なのでしょう?
    パケット キャプチャしても、一切パケットが出ていないということでしょうか。

    2008serverR2ではAD環境と外部ドメイン名の名前解決は別サーバへのフォワーダーを利用しない限りできなくなったのでしょうか。

    それはないです。

    • 回答の候補に設定 佐伯玲 2013年9月25日 0:56
    • 回答としてマーク taxi_n 2013年10月3日 3:59
    2013年9月17日 14:31

すべての返信

  • ・…ルートヒントを参照している気配はない。

    「気配」とは、具体的に何なのでしょう?
    パケット キャプチャしても、一切パケットが出ていないということでしょうか。

    2008serverR2ではAD環境と外部ドメイン名の名前解決は別サーバへのフォワーダーを利用しない限りできなくなったのでしょうか。

    それはないです。

    • 回答の候補に設定 佐伯玲 2013年9月25日 0:56
    • 回答としてマーク taxi_n 2013年10月3日 3:59
    2013年9月17日 14:31
  • チャブーンです。

    HomeCloset さんの回答に補足します(もう答えは言っていると思いますが)。

    Active Directoryを試験導入したがDNS名前解決ができないので、社内DNSにフォワーダしたらできるようになった、という場合、ネットワーク管理者の方で、ルータ等のフィルタ設定で、社内DNSサーバ以外の53/udp等の外部へ発呼を止めているから、なのではないでしょうか(ネットワーク管理者としては「不要なパケット発呼は行わせない」という運用は当たり前の話しです)。ルータ設定を確認いただくか、社内のネットワーク管理者にひとまずご相談ください。

    • 回答の候補に設定 佐伯玲 2013年9月25日 0:56
    • 回答としてマーク taxi_n 2013年10月3日 3:58
    2013年9月20日 3:12
    モデレータ

  • ・…ルートヒントを参照している気配はない。

    > 「気配」とは、具体的に何なのでしょう?
    > パケット キャプチャしても、一切パケットが出ていないということでしょうか。

    同DNSサーバ内上のコマンドプロンプトでnslookup を実行し、
    server 127.0.0.1に対してルートヒントに記載されているd.root-servers.netの名前解決を行いましたが
    その名前解決自体がrequest time outしてしまっていることからそう考えました。


    2008serverR2ではAD環境と外部ドメイン名の名前解決は別サーバへのフォワーダーを利用しない限りできなくなったのでしょうか。

    それはないです。

    その可能性はないということで、
    別途2008serverでテストサーバを構築し、ADを使わずDNSサーバを構築してみます。


    technet

    2013年9月25日 1:08
  • チャブーンです。

    HomeCloset さんの回答に補足します(もう答えは言っていると思いますが)。

    Active Directoryを試験導入したがDNS名前解決ができないので、社内DNSにフォワーダしたらできるようになった、という場合、ネットワーク管理者の方で、ルータ等のフィルタ設定で、社内DNSサーバ以外の53/udp等の外部へ発呼を止めているから、なのではないでしょうか(ネットワーク管理者としては「不要なパケット発呼は行わせない」という運用は当たり前の話しです)。ルータ設定を確認いただくか、社内のネットワーク管理者にひとまずご相談ください。

    チャブーンさん、ご回答ありがとうございます。

    ありがとうございます。フィルタリングの可能性は考えているのですが、同セグメントに
    今回同時にテスト用に構築した2003server (ADのドメインコントローラー + DNS)では問題なく外部名も解決できているのです。
    (今回は2003→2008へのAD移行の検証中のトラブルでして、2003sserverもテストで同セグメントに構築していました。)
    このため、フィルタリングによる可能性は低いと考えています。


    technet

    2013年9月25日 1:13
  • クライアントから問い合わせた時にサーバーからクエリーが出ていれば経路等の問題、出ていなければ内部状態の問題ではないでしょうか。
    http://technet.microsoft.com/ja-jp/library/cc759581(v=WS.10).aspx
    • 回答の候補に設定 佐伯玲 2013年10月3日 0:46
    • 回答としてマーク taxi_n 2013年10月3日 3:59
    2013年9月25日 15:42
  • 質問者のtaxi_nです。

    みなさんからの回答を基に、DNSサーバのquery log をdebugレベルですべて採集し、
    かつ同サーバ内にWireSharkを導入してパケットキャプチャを行ってみました。

    結果、パケットを53/UDPで*.root-servers.netに送信していることがパケットキャプチャから、
    queryに対する応答が戻ってきておらずservfailしていることがDNS querylogからそれぞれ確認できました。

    確認したところ上流のF/WでUDPパケットの送出にフィルタをかけていたことが判明しました。

    フィルタ解除にて、外部名が解決できました。

    皆様にはお騒がせしました。助かりました。


    technet

    2013年10月3日 4:04