(Переписування більшості цього питання, оскільки багато моїх оригінальних тестів не мають значення з огляду на нову інформацію)
У мене виникають проблеми із серверами DNS Server 2012R2. Найбільшим побічним ефектом цих проблем є обмін електронними листами. Обміняйте запити на записи AAAA перед тим, як спробувати записи A. Коли він бачить SERVFAIL для запису AAAA, він навіть не пробує записи A, він просто здається.
Для деяких доменів під час запитів до моїх активних серверів DNS-каталогів я отримую SERVFAIL замість NOERROR без результатів.
Я спробував це у кількох різних контролерів домену Server 2012R2, на яких працює DNS. Один з них - це цілком окремий домен, в іншій мережі за іншим брандмауером та підключенням до Інтернету.
Два адреси , які я знаю , причина цієї проблеми є smtpgw1.gov.on.ca
іmxmta.owm.bell.net
Я використовував dig
на машині Linux тестування цього (192.168.5.5 - це мій контролер домену):
grant@linuxbox:~$ dig @192.168.5.5 smtpgw1.gov.on.ca -t AAAA
; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> @192.168.5.5 smtpgw1.gov.on.ca -t AAAA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56328
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;smtpgw1.gov.on.ca. IN AAAA
;; Query time: 90 msec
;; SERVER: 192.168.5.5#53(192.168.5.5)
;; WHEN: Wed Oct 21 14:09:10 EDT 2015
;; MSG SIZE rcvd: 46
Але запити проти контролера публічного домену працюють як слід:
grant@home-ssh:~$ dig @4.2.2.1 smtpgw1.gov.on.ca -t AAAA
; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> @4.2.2.1 smtpgw1.gov.on.ca -t AAAA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 269
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;smtpgw1.gov.on.ca. IN AAAA
;; Query time: 136 msec
;; SERVER: 4.2.2.1#53(4.2.2.1)
;; WHEN: Wed Oct 21 14:11:19 EDT 2015
;; MSG SIZE rcvd: 46
Як я вже говорив, я спробував це в двох різних мережах і доменах. Один - це абсолютно новий домен, який безумовно має всі параметри за замовчуванням для DNS. Інший був перенесений на сервер 2012, тому деякі старі налаштування з 2003/2008, можливо, перенеслися. Я отримую однакові результати на обох.
Відключення EDNS за допомогою dmscnd /config /enableednsprobes 0
виправлень. Я бачу, що багато результатів пошуку, пов’язані з тим, що EDNS є проблемою на сервері 2003, але не дуже відповідає тому, що я бачу на сервері 2012. Жоден брандмауер не має проблеми з EDNS. Відключення EDNS має бути лише тимчасовим вирішенням проблеми - це перешкоджає використанню DNSSEC та може спричинити інші проблеми.
Я також бачив деякі публікації щодо проблем із сервером Server 2008R2 та EDNS, але ці ж повідомлення говорять, що все виправлено у Server 2012, тому воно має працювати належним чином.
Я також спробував увімкнути журнал налагодження для DNS. Я бачу пакети, які я очікував, але це не дає мені багато розуміння того, чому він повертається SERVFAIL. Ось відповідні частини журналу налагодження сервера DNS:
Перший пакет - запит від клієнта до мого DNS-сервера
16.10.2015 9:42:29 0974 ПАКЕТ 000000EFF1BF01A0 UDP Rcv 172.16.0.254 a61e Q [2001 D NOERROR] AAAA (7) smtpgw1 (3) gov (2) on (2) ca (0) Інформація про питання UDP за номером 000000EFF1BF01A0 Розетка = 508 Віддалений пристрій 172.16.0.254, порт 50764 Запит часу = 4556080, черга = 0, термін дії = 0 Довжина Buf = 0x0fa0 (4000) Msg довжина = 0x002e (46) Повідомлення: XID 0xa61e Прапори 0x0120 QR 0 (ПИТАННЯ) OPCODE 0 (QUERY) AA 0 TC 0 РД 1 RA 0 Z 0 CD 0 AD 1 RCODE 0 (NOERROR) QCOUNT 1 ОБЛІК 0 NSCOUNT 0 АРКОУНТ 1 РОЗДІЛ ЗАПИТАННЯ: Зсув = 0x000c, кількість RR = 0 Назва "(7) smtpgw1 (3) gov (2) on (2) ca (0)" QTYPE AAAA (28) QCLASS 1 ВІДПОВІДЬ: порожній РОЗДІЛ ВЛАДИ: порожній ДОДАТКОВИЙ РОЗДІЛ: Зсув = 0x0023, кількість RR = 0 Назва "(0)" ТИП ОПТ (41) КЛАС 4096 TTL 0 DLEN 0 ДАНІ Розмір буфера = 4096 Rcode Ext = 0 Rcode Full = 0 Версія = 0 Прапори = 0
Другий пакет - запит від мого DNS-сервера до їх DNS-сервера
16.10.2015 9:42:29 0974 ПАКЕТ 000000EFF0A22160 UDP Snd 204.41.8.237 3e6c Q [0000 NOERROR] AAAA (7) smtpgw1 (3) gov (2) on (2) ca (0) Інформація про питання UDP за номером 000000EFF0A22160 Розетка = 9812 Віддалений додавач 204.41.8.237, порт 53 Запит часу = 0, в черзі = 0, термін дії = 0 Довжина Buf = 0x0fa0 (4000) Msg довжина = 0x0023 (35) Повідомлення: XID 0x3e6c Прапори 0х0000 QR 0 (ПИТАННЯ) OPCODE 0 (QUERY) AA 0 TC 0 RD 0 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ОБЛІК 0 NSCOUNT 0 ARCOUNT 0 РОЗДІЛ ЗАПИТАННЯ: Зсув = 0x000c, кількість RR = 0 Назва "(7) smtpgw1 (3) gov (2) on (2) ca (0)" QTYPE AAAA (28) QCLASS 1 ВІДПОВІДЬ: порожній РОЗДІЛ ВЛАДИ: порожній ДОДАТКОВИЙ РОЗДІЛ: порожній
Третій пакет - відповідь з їх сервера DNS (NOERROR)
16.10.2015 9:42:29 0974 ПАКЕТ 000000EFF2188100 UDP Rcv 204.41.8.237 3e6c RQ [0084 A NOERROR] AAAA (7) smtpgw1 (3) gov (2) on (2) ca (0) Інформація про відповіді UDP за номером 000000EFF2188100 Розетка = 9812 Віддалений додавач 204.41.8.237, порт 53 Запит часу = 4556080, черга = 0, термін дії = 0 Довжина Buf = 0x0fa0 (4000) Msg довжина = 0x0023 (35) Повідомлення: XID 0x3e6c Прапори 0x8400 QR 1 (ВІДПОВІДЬ) OPCODE 0 (QUERY) АА 1 TC 0 RD 0 RA 0 Z 0 CD 0 AD 0 RCODE 0 (NOERROR) QCOUNT 1 ОБЛІК 0 NSCOUNT 0 ARCOUNT 0 РОЗДІЛ ЗАПИТАННЯ: Зсув = 0x000c, кількість RR = 0 Назва "(7) smtpgw1 (3) gov (2) on (2) ca (0)" QTYPE AAAA (28) QCLASS 1 ВІДПОВІДЬ: порожній РОЗДІЛ ВЛАДИ: порожній ДОДАТКОВИЙ РОЗДІЛ: порожній
Четвертий пакет - відповідь від мого DNS-сервера до клієнта (SERVFAIL)
16.10.2015 9:42:29 0974 ПАКЕТ 000000EFF1BF01A0 UDP Snd 172.16.0.254 a61e RQ [8281 DR SERVFAIL] AAAA (7) smtpgw1 (3) gov (2) on (2) ca (0) Інформація про відповідь UDP за номером 000000EFF1BF01A0 Розетка = 508 Віддалений пристрій 172.16.0.254, порт 50764 Запит часу = 4556080, черга = 4556080, термін дії = 4556083 Довжина Buf = 0x0fa0 (4000) Msg довжина = 0x002e (46) Повідомлення: XID 0xa61e Прапори 0x8182 QR 1 (ВІДПОВІДЬ) OPCODE 0 (QUERY) AA 0 TC 0 РД 1 РА 1 Z 0 CD 0 AD 0 RCODE 2 (SERVFAIL) QCOUNT 1 ОБЛІК 0 NSCOUNT 0 АРКОУНТ 1 РОЗДІЛ ЗАПИТАННЯ: Зсув = 0x000c, кількість RR = 0 Назва "(7) smtpgw1 (3) gov (2) on (2) ca (0)" QTYPE AAAA (28) QCLASS 1 ВІДПОВІДЬ: порожній РОЗДІЛ ВЛАДИ: порожній ДОДАТКОВИЙ РОЗДІЛ: Зсув = 0x0023, кількість RR = 0 Назва "(0)" ТИП ОПТ (41) КЛАС 4000 TTL 0 DLEN 0 ДАНІ Розмір буфера = 4000 Rcode Ext = 0 Rcode Full = 2 Версія = 0 Прапори = 0
Інші примітки:
- В одній із мереж є власний доступ до Інтернету IPv6, в іншій немає (але стек IPv6 увімкнено на серверах із налаштуваннями за замовчуванням). Здається, це не проблема мережі IPv6
- Це не стосується всіх доменів. Наприклад,
dig @192.168.5.5 -t AAAA serverfault.com
повертає NOERROR, а результатів немає. Те саме, щоgoogle.com
правильно повертає IPv6 адреси google. - Спробувавши встановити виправлення з KB3014171 , це не мало значення.
- Оновлення від KB3004539 вже встановлено.
Редагувати 7 листопада 2015 року
Я налаштував ще одну не-доменну приєднану машину Server 2012R2, встановив роль сервера DNS і перевірив команду nslookup -type=aaaa smtpgw1.gov.on.ca localhost
. У НЕ виникають однакові проблеми.
Обидва віртуальних машин знаходяться на одному хості та в одній мережі, що дозволяє усунути будь-які проблеми з мережею / брандмауером. Тепер це знижується або на рівні патчу, або на тому, що член домену / контролер домену, який має значення.
Редагувати 8 листопада 2015 року
Застосовували всі оновлення, без різниці. Перейшов до подвійної перевірки, чи існували якісь відмінності в конфігурації між моїм новим тестовим сервером та налаштуваннями DNS мого контролера домену.
Тепер я впевнений, що я намагався з експедиторами та без своїх початкових тестів, але я спробував це лише dig
з машини Linux. Я отримую дещо інші результати за допомогою та без налаштування експедиторів (пробував із Google, OpenDNS, 4.2.2.1 та моїми DNS-серверами ISP), коли використовую nslookup на машині Windows.
З набором експедитора я дістаюсь Server failed
.
Без експедитора (тому він використовує кореневі сервери DNS), я отримую No IPv6 address (AAAA) records available for smtpgw1.gov.on.ca
.
Але це все одно не те саме, що я отримую для інших доменів, які не мають записів IPv6 - nslookup у Windows просто не повертає результатів для інших доменів.
З експедиторами або без них dig
все ще відображається SERVFAIL
для цього імені при запиті мого DNS-сервера Windows.
Існує невелика різниця між проблемним доменом та іншими, що здається актуальним, навіть коли я не залучаю свій DNS-сервер Windows:
dig -t aaaa @8.8.8.8 smtpgw1.gov.on.ca
не має відповідей і не має розділу з повноваженнями.
dig -t aaaa @8.8.8.8 serverfault.com
не дає відповідей, але має розділ повноважень. Так само, як і більшість інших доменів, які я намагаюсь, незалежно від того, яким резолютором я користуюся.
То чому цей розділ повноважень відсутній і чому сервер Windows DNS трактує це як збій, коли інші сервери DNS цього не роблять?