none
Проблема с передачей DNS-зон RRS feed

  • Вопрос

  • Доброе время суток. Столкнулся с проблемой передачи зон DNS между разными лесами.

     

    Что было: Домены(леса) domain1 и domain2. В каждом домене по DC a01.domain1 и b01.domain2 (на обоих установлен Windows Server 2012 R2). Между ними была организована взаимная передача зон и доверительные отношения.

     

    Что изменилось:

    Решил постепенно перенести роль DC домена domain2 с сервера b01 на новый – b02 (также с Windows Server 2012 R2) с последующим понижением сервера b01 до роли рядового. Поднял и настроил роль AD, DNS-сервера реплицируются. Перевел DHCP. Решил добавить передачу зон между dns-серверами a01.domain1 и b02.domain2, не убирая пока передачу зон между a01.domain1 и b01.domain2. И столкнулся с проблемой, решение которой не нашел, хотя дотошно облазил все форумы и поисковики.

     

    Что сделано:

    1. В свойствах основной зоны dns-сервера a1.domain1 во вкладке «Передачи зон» добавлен IP адрес сервера b02.domain2
    2. Создана дополнительная зона “domain1” на b02.domain2, привязанная к IP-адресу a01.domain1.
    3. Перенастроил передачу зон с b01.domain2 -> a01.domain1 на b02.domain2 -> a01.domain1

     

    Т.е. по моему мнению должно работать так: b02.domain2 передает свои основные зоны на a01.domain1, а a01.domain1 передает свои основные зоны на оба сервера b01.domain2 и b02.domain2. Таким же образом настроены уведомления.

     

    Что вышло:

    В результате передача зон a01.domain1 -> b01.domain2 работает (как и работала до этого), передача b02.domain2 -> a01.domain1 работает (судя по логам), а вот передача a01.domain1 -> b02.domain2 не работает.

    Если зайти в свойства основной зоны на a1.domain1, то во вкладке «Передачи зон» -> «Изменить» слева от IP-адреса b02.domain2 выводится сообщение «сервер с таким ip-адресом не является полномочным для требуемой зоны».

    На сервере b02.domain2 если нажать на дополнительную зону «domain1», то справа выводится ошибка «Зона не загружена DNS-сервером. DNS-сервер обнаружил ошибку при попытке загрузить зону. Ошибка переноса данных зоны с основного сервера.». Если попытаться дать команду передачи зоны, то либо вообще ничего не происходит, либо появляется ошибка «DNS передача зоны не выполнена. Отказано». В свойствах этой дополнительной зоны, в списке адресов основных серверов справа от IP адреса сервера a01.domain1 стоит предупреждение «Время ожидания проверки истекло».

    В общем такое впечатление, что нету связи между серверами. Но ведь передача в обратную сторону (b02.domain2 -> a01.domain1) идет. Отключение брандмауэров тоже ни к чему положительному не приводит.

    В чем может быть проблема?


    8 июня 2017 г. 13:55

Ответы

  • Для начала несколько вопросов:

    1. Почему используете передачу зон, а не условную пересылку?

    2. Для зоны domain2 какой тип используете (интегрированная в AD или другой)?

    3. Для зоны domain2 какие серверы указаны основными (master)?

    С какой целью интересуетесь?

    Потому как п.1 - это вопрос выбора одного из допустимых путей реализации, т.е. - вопрос вкуса, местных особенностей и т.п.  А вопросы 2 или 3 вряд ли имеют отношение к проблеме, т.к., по словам автора, проблем с передачей зоны domain2 нет.

    Проверить передачу зоны можно с помощью nslookup - запустить на B02 nslookup, выбрать командой sever a01.domain1 первичный сервер зоны domain1 и попробовать просмотреть зону командой ls -d domain1 - при этом используется именно передача зоны. Так можно отличить ситуацию, когда передача зоны запрещена (будет сообщение об ошибке query refused), от проблем со связью, брандмауэром и т.п.

    Проверить наличие проблем со связью можно с b02 командой

    telnet a01.domain1 53

    (предварительно на b02 должен быть установлен компонент Клиент Telnet, по умолчанию он не установлен)

    Одна из возможных причин - подключение идёт не с того адреса (если на b02 несколько сетевых карт с несколькими адресами). Можно посмотреть, с ккого адреса реально идёт подключения во время выполнения упомянутой команды telnet - поискать на a01 выдаче nestat -n подключение  на порт 53/tcp.


    Слава России!



    8 июня 2017 г. 15:04
  • Коллеги, спасибо вам за отзывчивость.

    Видимо вчера был не в себе и неправильно указал IP адрес основного сервера a01.domain1 в дополнительной зоне на b02.domain2. С утра голова свежая, проверил и нашел косяк. Переделал зону, все передалось влёт.

    Кстати, nslookup на всех серверах на команду ls -d дает query refused. Но тем не менее все работает.

    По поводу выбора именно передачи зон. Ну, наверное, это вопрос религии. Я решил, что быстрее для сетей обращаться к своему dns-серверу, нежели пробрасывать запрос по условной пересылке. Да и в условной пересылке у меня идет проброс на dns провайдера, не хотел смешивать все в кучу.

    Еще раз огромное спасибо.

  • Любые запросы DNS-сервер кэширует, поэтому разрешение имен для "пересыльного" домена не будет каждый раз ходить к первоисточнику.

    Что касается передачи зоны против условной пересылки, то у любого механизма есть свои полюсы и минусы. Сам лично раньше тоже использовал передачу зон, но потом перешел на условную пересылку. В нескольких случаях из практики было гораздо эффективнее иметь одну точку работы с конкретной зоной, не занимаясь в разных филиалах поисками проблем с репликацией вторичной зоны или пытаться понять почему в этой зоне устаревшие записи.

Все ответы

  • Для начала несколько вопросов:

    1. Почему используете передачу зон, а не условную пересылку?

    2. Для зоны domain2 какой тип используете (интегрированная в AD или другой)?

    3. Для зоны domain2 какие серверы указаны основными (master)?

    8 июня 2017 г. 14:12
  • Для начала несколько вопросов:

    1. Почему используете передачу зон, а не условную пересылку?

    2. Для зоны domain2 какой тип используете (интегрированная в AD или другой)?

    3. Для зоны domain2 какие серверы указаны основными (master)?

    С какой целью интересуетесь?

    Потому как п.1 - это вопрос выбора одного из допустимых путей реализации, т.е. - вопрос вкуса, местных особенностей и т.п.  А вопросы 2 или 3 вряд ли имеют отношение к проблеме, т.к., по словам автора, проблем с передачей зоны domain2 нет.

    Проверить передачу зоны можно с помощью nslookup - запустить на B02 nslookup, выбрать командой sever a01.domain1 первичный сервер зоны domain1 и попробовать просмотреть зону командой ls -d domain1 - при этом используется именно передача зоны. Так можно отличить ситуацию, когда передача зоны запрещена (будет сообщение об ошибке query refused), от проблем со связью, брандмауэром и т.п.

    Проверить наличие проблем со связью можно с b02 командой

    telnet a01.domain1 53

    (предварительно на b02 должен быть установлен компонент Клиент Telnet, по умолчанию он не установлен)

    Одна из возможных причин - подключение идёт не с того адреса (если на b02 несколько сетевых карт с несколькими адресами). Можно посмотреть, с ккого адреса реально идёт подключения во время выполнения упомянутой команды telnet - поискать на a01 выдаче nestat -n подключение  на порт 53/tcp.


    Слава России!



    8 июня 2017 г. 15:04
  • Коллеги, спасибо вам за отзывчивость.

    Видимо вчера был не в себе и неправильно указал IP адрес основного сервера a01.domain1 в дополнительной зоне на b02.domain2. С утра голова свежая, проверил и нашел косяк. Переделал зону, все передалось влёт.

    Кстати, nslookup на всех серверах на команду ls -d дает query refused. Но тем не менее все работает.

    По поводу выбора именно передачи зон. Ну, наверное, это вопрос религии. Я решил, что быстрее для сетей обращаться к своему dns-серверу, нежели пробрасывать запрос по условной пересылке. Да и в условной пересылке у меня идет проброс на dns провайдера, не хотел смешивать все в кучу.

    Еще раз огромное спасибо.

  • Любые запросы DNS-сервер кэширует, поэтому разрешение имен для "пересыльного" домена не будет каждый раз ходить к первоисточнику.

    Что касается передачи зоны против условной пересылки, то у любого механизма есть свои полюсы и минусы. Сам лично раньше тоже использовал передачу зон, но потом перешел на условную пересылку. В нескольких случаях из практики было гораздо эффективнее иметь одну точку работы с конкретной зоной, не занимаясь в разных филиалах поисками проблем с репликацией вторичной зоны или пытаться понять почему в этой зоне устаревшие записи.

  • Понял, спасибо.

    В принципе у меня не такая уж сильно разветвленная сеть, так что оба варианта подходят. Но на будущее учту Ваши аргументы.

    9 июня 2017 г. 10:22