Dns сервер не отвечает на запрос soa записи по протоколу tcp
Обновлено: 03.07.2024
На чистой ubuntu 14.04 поднят dns-сервер для обслуживания зоны (домена). Ничего, кроме настройки bind9 в системе не производилось, то есть система девственно чистая. С роутера проброшены порты 53 TCP и 53 UDP на локальный адрес сервера.
В той же локальной сети имеется вторичный dns-сервер, который использует другой шлюз, и соответственно, другой внешний адрес на другом роутере, на котором также проброшены порты 53 TCP и 53 UDP на локальный адрес вторичного сервера.
Внутри локальной сети все работает, зоны передаются и т.д. Но извне оба сервера упорно недоступны для udp-запросов. И при этом никаких диагностических записей в логах.
Оба сервера крутятся на KVM виртуальных машинах. Подключаются к мосту br0 хоста, сеть белая (не virbr0), сетевой адаптер virtio, ну то есть самые стандартные параметры. Хостовая система также девственно чистая, поднималась только для KVM.
Подскажите, в чем причина недоступности dns-серверов, может быть в KVM? Уже не знаю куда дальше копать
Что прописано в дтрективе listen в конфигурационном файле bind (named)?
kostik87 ★★★★★ ( 17.06.14 14:42:05 )Последнее исправление: kostik87 17.06.14 14:42:30 (всего исправлений: 1)
очевидно же, что проброс с роутера не работает
два совершенно разных роутера, на обоих не работает? и почему только udp
ну, раз в локалке работает, а извне — нет? два совершенно разных роутера могут быть настроены совершенно одинаковым (т.е. одним и тем же) криворуким админом
короче, запускай tcpdump и смотри, что там откуда и куда приходит/уходит
allow_query не указано случайно?
указано только в internal view
здесь allow-query не указано
Ну так, для приличия - iptables на серваках выключен/настроен, фаерволл на роутере выключен/настроен?
iptables на серваках выключен, на роутере настроен проброс 53 tcp порта и 53 udp порта, так вот - проброс tcp работает, а udp - не работает. На обоих роутерах такая же история (один роутер tp-link, второй - d-link), ну то есть 100% дело не в роутерах. Думаю на KVM может грешить стоит?
на вторичном сервере делаю:
;; global options: +cmd
;; connection timed out; no servers could be reached
в это время на первичном сервере делаю:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
<. и больше никакого вывода нет . >
25.25.25.25 - внешний адрес первичного сервера
а вот если сделать с первичного сервера (самому себе):
то вывод зоны будет в порядке
Оставил на ночь выполнение tcpdump -nn udp port 53, и вот какой выхлоп:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
23:16:26.413536 IP 192.168.1.101.52135 > 192.168.1.100.53: 26857 [1au] SOA? mydomain.test. (40)
23:16:26.414059 IP 192.168.1.100.53 > 192.168.1.101.52135: 26857 Refused- 0/0/1 (40)
23:56:58.413850 IP 192.168.1.100.53 > 192.168.1.101.29088: 773*- 1/2/3 SOA (159)
00:06:16.413816 IP 192.168.1.101.25038 > 192.168.1.100.53: 48728 [1au] SOA? mydomain.test. (40)
00:06:16.414255 IP 192.168.1.100.53 > 192.168.1.101.25038: 48728 Refused- 0/0/1 (40)
00:42:39.413926 IP 192.168.1.100.53 > 192.168.1.101.25758: 13355*- 1/2/3 SOA (159)
01:06:13.414080 IP 192.168.1.101.59682 > 192.168.1.100.53: 46107 [1au] SOA? mydomain.test. (40)
01:06:13.414498 IP 192.168.1.100.53 > 192.168.1.101.59682: 46107 Refused- 0/0/1 (40)
01:07:59.410926 IP 192.168.1.101.53036 > 192.168.1.100.53: 5163 [1au] SOA? 192.in-addr.arpa. (45)
01:07:59.411272 IP 192.168.1.100.53 > 192.168.1.101.53036: 5163 Refused- 0/0/1 (45)
01:40:40.414206 IP 192.168.1.100.53 > 192.168.1.101.30045: 26542*- 1/2/3 SOA (159)
01:57:13.414334 IP 192.168.1.101.43248 > 192.168.1.100.53: 64250 [1au] SOA? mydomain.test. (40)
01:57:13.414851 IP 192.168.1.100.53 > 192.168.1.101.43248: 64250 Refused- 0/0/1 (40)
02:33:47.413523 IP 192.168.1.100.53 > 192.168.1.101.7769: 39915*- 1/2/3 SOA (159)
02:49:50.414367 IP 192.168.1.101.13410 > 192.168.1.100.53: 51447 [1au] SOA? mydomain.test. (40)
02:49:50.414799 IP 192.168.1.100.53 > 192.168.1.101.13410: 51447 Refused- 0/0/1 (40)
03:18:57.414683 IP 192.168.1.100.53 > 192.168.1.101.21244: 62187*- 1/2/3 SOA (159)
03:48:08.414832 IP 192.168.1.101.56758 > 192.168.1.100.53: 24561 [1au] SOA? mydomain.test. (40)
03:48:08.415320 IP 192.168.1.100.53 > 192.168.1.101.56758: 24561 Refused- 0/0/1 (40)
04:18:30.414920 IP 192.168.1.100.53 > 192.168.1.101.34859: 41828*- 1/2/3 SOA (159)
04:33:31.414707 IP 192.168.1.101.49358 > 192.168.1.100.53: 44893 [1au] SOA? mydomain.test. (40)
04:33:31.415190 IP 192.168.1.100.53 > 192.168.1.101.49358: 44893 Refused- 0/0/1 (40)
05:06:39.413955 IP 192.168.1.100.53 > 192.168.1.101.12434: 28986*- 1/2/3 SOA (159)
05:32:34.415237 IP 192.168.1.101.16147 > 192.168.1.100.53: 52266 [1au] SOA? mydomain.test. (40)
05:32:34.415686 IP 192.168.1.100.53 > 192.168.1.101.16147: 52266 Refused- 0/0/1 (40)
06:01:26.415210 IP 192.168.1.100.53 > 192.168.1.101.15810: 51681*- 1/2/3 SOA (159)
06:22:58.415483 IP 192.168.1.101.44092 > 192.168.1.100.53: 36831 [1au] SOA? mydomain.test. (40)
06:22:58.415923 IP 192.168.1.100.53 > 192.168.1.101.44092: 36831 Refused- 0/0/1 (40)
06:28:10.140295 IP 192.168.1.101.53 > 192.168.1.100.43098: 28343 5/13/0 A 91.189.91.14, A 91.189.91.13, A 91.189.92.201, A 91.189.92.200, A 91.189.91.15 (328)
06:28:10.140474 IP 192.168.1.101.53 > 192.168.1.100.43098: 145 5/13/0 AAAA 2001:67c:1360:8c01::18, AAAA 2001:67c:1562::15, AAAA 2001:67c:1562::13, AAAA 2001:67c:1562::14, AAAA 2001:67c:1360:8c01::19 (388)
06:50:26.415442 IP 192.168.1.100.53 > 192.168.1.101.31240: 25090*- 1/2/3 SOA (159)
07:21:46.415668 IP 192.168.1.101.24181 > 192.168.1.100.53: 63440 [1au] SOA? mydomain.test. (40)
07:21:46.416124 IP 192.168.1.100.53 > 192.168.1.101.24181: 63440 Refused- 0/0/1 (40)
07:39:34.415265 IP 192.168.1.100.53 > 192.168.1.101.6115: 53573*- 1/2/3 SOA (159)
08:12:22.415557 IP 192.168.1.101.58568 > 192.168.1.100.53: 57750 [1au] SOA? mydomain.test. (40)
08:12:22.415953 IP 192.168.1.100.53 > 192.168.1.101.58568: 57750 Refused- 0/0/1 (40)
08:27:51.415812 IP 192.168.1.100.53 > 192.168.1.101.36646: 16377*- 1/2/3 SOA (159)
192.168.1.100 - локальный адрес первичного сервера
192.168.1.101 - локальный адрес вторичного сервера
// 192.168.1.100; 192.168.1.101 - локальные адреса первичного и вторичного серверов
ОПЕРАТИВНАЯ ИНФОРМАЦИЯ:
Проблем с парковкой нет
В данной теме говорится о переносе домена: если у вас есть свой домен, вы можете прикрепить его к вашему проекту, после этого ваш сайт станет доступным по новому адресу.
Правила ведения темы:
- Вопросы, касающиеся поддоменов, настройки почты и т.д. обсуждаются в теме Редактирование состава доменов
- Вопросы по приобретению и переносу доменов в теме Покупка и продление доменов через uCoz
- Узнать, что такое DNS и с чем его едят можно здесь
Nicholas, Вот смотрю сейчас, там есть пункт
Настройка зоны и переадресации
Функции доступны только при использовании наших DNS-серверов
Система доменных имён (DNS) — это каталог, который переводит доменные имена или имена хостов в адреса интернет-протокола (IP). Благодаря этому процессу пользователи могут легко заходить на сайты через браузер.
Существует ряд причин, по которым может возникнуть эта ошибка: от неправильно настроенного сетевого адаптера до недействительного адреса DNS-сервера. К счастью, большинство этих проблем лежит на стороне пользователя, и их можно довольно просто решить.
1. Устраните проблемы с сетью
Диагностика сети — первый шаг к устранению ошибки «DNS-сервер не отвечает». Этот метод без особых усилий поможет диагностировать и устранить все сетевые проблемы и ошибки.
Вот как запустить диагностику сети на компьютерах с Windows и Mac.
Диагностика сети в Windows
Выполните следующие действия, чтобы запустить диагностику сети в Windows 10:
Если этот метод не помог уcтранить проблему с DNS-сервером, переходите к следующему шагу.
2. Подключитесь с другого устройства
Попробуйте подключить другое устройство к той же домашней сети и зайти на сайт, с которым у вас возникли проблемы.
Если второму устройству удалось получить доступ к странице через ту же сеть, проблема связана с основным устройством.
Однако, если вы по-прежнему не можете зайти на сайт, это может свидетельствовать о проблеме с вашим маршрутизатором.
Попробуйте подключиться с помощью мобильного интернета, чтобы убедиться, что проблема не на стороне сайта.
3. Попробуйте другой браузер
Ещё один простой способ решения проблемы «DNS-сервер не отвечает» — посетить сайт из другого браузера.
Например, если вашим основным браузером является Mozilla Firefox, попробуйте зайти на страницу из Microsoft Edge или Google Chrome.
4. Загрузите компьютер в безопасном режиме
Чтобы выяснить это, необходимо загрузить компьютер в безопасном режиме — урезанной версии вашей операционной системы, которая может ограничивать файлы и ресурсы, используемые для работы вашего устройства.
Вот инструкция по запуску компьютера в безопасном режиме в Windows:
- Перейдите в меню Пуск, выберите кнопку питания, затем нажав и удерживая клавишу Shift, нажмите Перезагрузка.
- В окне Выберите параметр нажмите Поиск и устранение неисправностей -> Дополнительные параметры.
- Выберите опцию Параметры загрузки в разделе Дополнительные параметры и нажмите Перезагрузить.
- Нажмите F5 на клавиатуре, чтобы выбрать Безопасный режим с загрузкой сетевых драйверов.
Если вы используете Mac, вот как запустить компьютер в безопасном режиме:
- Перейдите в меню Apple -> Выключить. Подождите около 10 секунд после выключения устройства.
- Включите Mac и быстро нажмите и удерживайте клавишу Shift, пока не увидите экран входа в систему.
Если в безопасном режиме ваше сетевое соединение работает, значит причина проблемы «DNS-сервер не отвечает» в стороннем программном обеспечении. Чтобы устранить неполадку, вам нужно будет найти и удалить проблемное приложение со своего компьютера.
5. Перезагрузите модем или роутер
Неисправный модем или маршрутизатор также могут быть причиной того, что DNS-сервер не отвечает.
Попробуйте перезапустить модем или маршрутизатор, чтобы очистить кэш.
Для этого просто нажмите кнопку питания на маршрутизаторе или модеме и выньте вилку кабеля питания из розетки. Подождите не менее 30 секунд, прежде чем снова включить устройство.
Если это не помогло, попробуйте сбросить модем или роутер до настроек по умолчанию. Обратитесь к инструкции по эксплуатации устройства, чтобы узнать, как это сделать.
6. Деактивируйте антивирус и брандмауэр
Антивирусные программы и брандмауэры призваны защитить ваше устройство от вредоносного программного обеспечения. Однако эти инструменты также могут блокировать ваше интернет-соединение.
Попробуйте временно отключить антивирус и брандмауэр, чтобы проверить, не являются ли они причиной ошибки «DNS-сервер не отвечает».
Чтобы перейти к настройкам антивируса и брандмауэра в Windows, выберите меню Пуск и нажмите Параметры -> Обновление и безопасность -> Безопасность Windows -> Защита от вирусов и угроз.
Если вы используете компьютер с Mac, перейдите в Системные настройки -> Защита и безопасность -> Брандмауэр.
После деактивации антивируса и брандмауэра повторно запустите диагностику сети и откройте сайт снова.
Если проблема исчезла, обновите или переустановите антивирус и брандмауэр перед их повторной активацией.
7. Отключите другие подключения
Ещё одно решение проблемы «DNS-сервер не отвечает» — отключить неиспользуемые соединения на вашем устройстве.
Выполните следующие действия, чтобы отключить дополнительные сетевые подключения в Windows:
Вот как отключить сетевые подключения на Mac:
После отключения всех неиспользуемых подключений перезапустите браузер и попробуйте зайти на сайт снова.
8. Измените адрес DNS-сервера
Если ни одно из выше перечисленных решений не помогло получить доступ к сайту, попробуйте изменить адрес DNS-сервера.
Ваша домашняя сеть настроена таким образом, чтобы автоматически получать адрес DNS-сервера от вашего интернет-провайдера (ISP). Однако, если DNS-сервер интернет-провайдера не отвечает, интернет-служба тоже перестанет работать.
Чтобы временно решить эту проблему, измените настройки DNS, заменив DNS-адрес. Это позволит вашему браузеру загружать любые сайты, как и прежде.
К счастью, многие сервисы, такие как Cloudflare или Google Public DNS, предлагают DNS-адреса для бесплатного использования.
Чтобы настроить другой DNS-сервер в Windows, выполните следующие действия:
Вот пошаговая инструкция, как изменить адрес DNS-сервера на Mac:
Переподключитесь к интернету и проверьте, исчезла ли проблема «DNS-сервер не отвечает».
9. Очистите DNS-кэш
Ещё одно решение для устранения проблем с подключением к DNS-серверу — очистка кэша DNS. Очистка кэша маршрутизатора может способствовать правильной работе DNS.
Чтобы удалить файлы кэша DNS в Windows:
Очистить кэш DNS на Mac также относительно просто, но крайне важно запустить правильную командную строку в зависимости от вашей текущей версии операционной системы.
На вашем Mac откройте Терминал, нажав F4 и введя слово «терминал» в поиске Launchpad.
После открытия приложения запустите команду, которая подходит для вашей версии macOS.
Для macOS Big Sur введите следующую команду:
Чтобы очистить DNS-кэш в macOS Catalina, запустите эту команду:
Используйте эту команду, чтобы очистить кэш DNS в macOS Mojave:
Очистите DNS-кэш в macOS High Sierra с помощью этой команды:
Для macOS Sierra, Mac OS X El Capitan, X Mavericks, X Mountain Lion или X Lion выполните следующую команду:
Если вы используете Mac OS X Yosemite, введите эту команду:
Для Mac OS X Snow Leopard выполните команду:
Если вы используете версию Mac OS X Leopard и ниже, введите эту команду:
После выполнения приведённых выше команд сетевой адаптер обновит свою DNS-конфигурацию.
10. Отключите IP версии 6 (IPv6)
Интернет-протокол версии 6 (IPv6) — это последняя версия интернет-протокола, который идентифицирует устройства в Интернете и локальной сети.
Однако IPv6 также может быть причиной ошибки «DNS-сервер не отвечает». Поэтому попробуйте отключить IPv6, если предыдущие решения не помогли решить проблему.
Чтобы отключить IPv6 в Windows:
Чтобы отключить IPv6 на вашем Mac:
- Перейдите в меню Apple -> Системные настройки -> Сеть.
- Щёлкните по службе, которую вы используете для текущего подключения к интернету и выберите Дополнения -> TCP/IP.
- Нажмите на выпадающее меню Настроить IPv6 и установите для него значение Выкл. Нажмите ОК.
Если параметр Выкл недоступен в раскрывающемся меню Настроить IPv6, попробуйте отключить IPv6 с помощью командной строки.
Чтобы отключить IPv6 при беспроводном подключении, откройте приложение Терминал на своем Mac и выполните следующую команду:
Если вы хотите отключить IPv6 при подключении к сети Ethernet, используйте эту команду:
Также можно отключить IPv6 для беспроводного и Ethernet-соединения одновременно, введя следующую команду:
Обязательно перезагрузите устройство и снова подключитесь к интернету, чтобы проверить, исчезла ли ошибка «DNS-сервер не отвечает».
11. Обновите драйвер сетевого адаптера
Причиной появления проблемы «DNS-сервер не отвечает» на компьютере с Windows также может быть устаревший драйвер сетевого адаптера.
Есть два варианта, как вы можете обновить драйвер сетевого адаптера — вручную или автоматически.
Для новичков, не знакомых с программным обеспечением драйвера, обновить его вручную может быть довольно сложно. Поэтому лучше воспользоваться методом автоматического обновления с помощью такого инструмента, как Driver Easy.
Обратите внимание, что прежде чем использовать бесплатную версию Driver Easy, необходимо создать точку восстановления системы (англ.). Это позволит вернуть ваш компьютер к предыдущему состоянию в случае, если что-то пойдёт не так.
Чтобы автоматически обновить драйвер сетевого адаптера с помощью Driver Easy, выполните следующие действия:
По завершению всего процесса ещё раз зайдите на сайт, чтобы проверить, помог ли этот метод решить проблему «DNS-сервер не отвечает».
Частые причины ошибки “DNS-сервер не отвечает”
Одна из наиболее частых причин проблем с DNS — неправильно настроенные DNS-записи. Это может произойти, если в процессе добавления записей ввести неправильные значения или неправильный IP-адрес.
Вот другие возможные причины того, что вам не удаётся получить доступ к сайту:
Итоги
Ошибка «DNS-сервер не отвечает» означает, что ваш браузер не может подключиться к интернету.
Среди причин появления проблемы с DNS можно выделить следующие: неправильно настроенные DNS-записи, недоступные службы DNS, неисправный маршрутизатор или модем, проблемы с оборудованием или сетью, а также ошибки антивирусного ПО.
Вот некоторые из наиболее распространённых методов решения проблемы «DNS-сервер не отвечает»:
- Устранение сетевых проблем. Запустите диагностику сети, чтобы выявить и устранить проблемы с подключением к интернету.
- Перезагрузка модема или роутера. Очистите кэш модема или маршрутизатора, выключив устройство и отключив кабель питания.
- Отключение антивируса и брандмауэра. Временная деактивация антивируса и брандмауэра может помочь решить проблему с DNS.
- Очистка DNS-кэша. Очистите кэш маршрутизатора, чтобы обновить конфигурацию DNS.
- Изменение адреса DNS-сервера. Замените адрес вашего интернет-провайдера другим адресом DNS.
Мы надеемся, что эта статья помогла вам решить проблему «DNS-сервер не отвечает» и вам удалось подключиться к желаемому сайту.
Если у вас остались вопросы или есть предложения, как мы можем улучшить эту статью, поделитесь ими в разделе комментариев ниже.
Ольга уже около пяти лет работает менеджером в сфере IT. Написание технических заданий и инструкций — одна из её главных обязанностей. Её хобби — узнавать что-то новое и создавать интересные и полезные статьи о современных технологиях, веб-разработке, языках программирования и многом другом.
В этой статье описывается, как устранять неполадки на DNS-серверах.
Проверка IP-конфигурации
Выполните ipconfig /all команду из командной строки и проверьте IP-адрес, маску подсети и шлюз по умолчанию.
Проверьте, является ли DNS-сервер полномочным для имени, которое ищется. Если это так, см. раздел Проверка на наличие проблем с достоверными данными.
Выполните следующую команду.
Если вы получаете ответ об ошибке или истечении времени ожидания, см. раздел Проверка проблем с рекурсией.
Очистка кэша сопоставителя. Для этого выполните следующую команду в окне командной строки с правами администратора:
Или в окне администрирования PowerShell выполните следующий командлет:
Повторите шаг 3.
Проверка неполадок DNS-сервера
Журнал событий
Проверьте следующие журналы, чтобы узнать, есть ли записанные ошибки:
Тестирование с помощью запроса nslookup
Выполните следующую команду и проверьте, доступен ли DNS-сервер с клиентских компьютеров.
Если сопоставитель возвращает IP-адрес клиента, у сервера нет проблем.
Если сопоставитель возвращает ответ "сбой сервера" или "Запрос отклонен", зона может быть приостановлена или сервер может быть перегружен. Чтобы узнать, приостановлен ли он, перейдите на вкладку Общие окна свойств зоны в консоли DNS.
Если сопоставитель возвращает ответ "запрос на превышение времени ожидания сервера" или "нет ответа от сервера", возможно, служба DNS не запущена. Попробуйте перезапустить службу DNS-сервера, введя следующую команду в командной строке на сервере:
Если проблема возникает при запуске службы, сервер может не прослушивать IP-адрес, который использовался в запросе nslookup. На вкладке интерфейсы страницы свойств сервера консоли DNS администраторы могут ограничить DNS-сервер прослушиванием только выбранных адресов. Если DNS-сервер настроен для ограничения службы указанным списком настроенных IP-адресов, то возможно, что IP-адрес, используемый для связи с DNS-сервером, отсутствует в списке. Можно попробовать использовать другой IP-адрес в списке или добавить IP-адрес в список.
В редких случаях DNS-сервер может иметь расширенную конфигурацию безопасности или брандмауэра. Если сервер расположен в другой сети, доступной только через промежуточный узел (например, маршрутизатор фильтрации пакетов или прокси-сервер), DNS-сервер может использовать нестандартный порт для прослушивания и получения клиентских запросов. По умолчанию программа nslookup отправляет запросы на DNS-серверы через порт UDP 53. Поэтому, если DNS-сервер использует любой другой порт, запросы nslookup завершатся ошибкой. Если вы считаете, что это может быть проблема, проверьте, используется ли промежуточный фильтр для блокировки трафика на хорошо известных портах DNS. Если это не так, попробуйте изменить фильтры пакетов или правила портов в брандмауэре, чтобы разрешить трафик через порт UDP/TCP 53.
Проверка на наличие проблем с достоверными данными
Проверьте, является ли сервер, который возвращает неверный ответ, основным сервером для зоны (основным сервером-источником для зоны или сервером, который использует интеграцию Active Directory для загрузки зоны) или сервер, на котором размещена дополнительная копия зоны.
Если сервер является сервером-источником
Проблема может быть вызвана ошибкой пользователя при вводе пользователем данных в зону. Кроме того, это может быть вызвано проблемой, которая влияет на Active Directory репликацию или динамическое обновление.
Если на сервере размещается дополнительная копия зоны
Изучите зону на сервере-источнике (сервере, с которого этот сервер извлекает зоны).
Вы можете определить, какой сервер является сервером-источником, проверив свойства дополнительной зоны в консоли DNS.
Если на сервере-источнике указано неправильное имя, перейдите к шагу 4.
Если на сервере-источнике указано правильное имя, убедитесь, что серийный номер на сервере-источнике меньше или равен серийному номеру на сервере-получателе. Если это так, измените либо сервер-источник, либо сервер-получатель, чтобы серийный номер на сервере-источнике был больше, чем серийный номер на сервере-получателе.
На сервере-получателе выполните принудительную пересылку зоны с помощью консоли DNS или выполните следующую команду:
Изучите сервер-получатель еще раз, чтобы узнать, правильно ли передана зона. В противном случае у вас, вероятно, возникает проблема с переносом зоны. Дополнительные сведения см. в статье проблемы зонных передач.
Если зона была передана правильно, проверьте, правильно ли указаны данные. В противном случае данные в основной зоне неверны. Проблема может быть вызвана ошибкой пользователя при вводе пользователем данных в зону. Кроме того, это может быть вызвано проблемой, которая влияет на Active Directory репликацию или динамическое обновление.
Проверка проблем с рекурсией
Чтобы рекурсия работала успешно, все DNS-серверы, используемые в пути рекурсивного запроса, должны иметь возможность отвечать и пересылать правильные данные. Если это не так, рекурсивный запрос может завершиться ошибкой по одной из следующих причин:
Время ожидания запроса истекло, прежде чем его можно будет завершить.
Сервер, используемый во время запроса, не отвечает.
Сервер, используемый во время запроса, предоставляет неверные данные.
Начните устранение неполадок на сервере, который использовался в исходном запросе. Проверьте, пересылает ли этот сервер запросы на другой сервер, изучив вкладку серверы пересылки в свойствах сервера в консоли DNS. Если флажок включить серверы пересылки установлен и в списке присутствует один или несколько серверов, этот сервер перенаправляет запросы.
Если этот сервер пересылает запросы на другой сервер, проверьте наличие проблем, влияющих на сервер, на который сервер пересылает запросы. Чтобы проверить наличие проблем, см. раздел Проверка неполадок DNS-сервера. Когда этот раздел предписывает выполнить задачу на клиенте, выполните его на сервере.
Если сервер находится в работоспособном состоянии и может пересылать запросы, повторите этот шаг и проверьте сервер, на который сервер пересылает запросы.
Если этот сервер не перенаправляет запросы на другой сервер, проверьте, может ли этот сервер запрашивать корневой сервер. Для этого выполните следующую команду:
Если сопоставитель возвращает IP-адрес корневого сервера, возможно, имеется разорванное делегирование между корневым сервером и именем или IP-адресом, который вы пытаетесь разрешить. Следуйте инструкциям по тестированию неработающей процедуры делегирования , чтобы определить, где находится неработающее делегирование.
Если сопоставитель возвращает ответ "запрос на превышение времени ожидания сервера", проверьте, указывает ли корневые ссылки на работоспособность корневых серверов. Для этого используйте для просмотра текущей процедуры корневых ссылок . Если корневые ссылки указывают на работающие корневые серверы, возможно, возникла проблема с сетью или сервер может использовать расширенную конфигурацию брандмауэра, которая не позволяет арбитру конфликтов запрашивать сервер, как описано в разделе Проверка проблем DNS-сервера . Также возможно, что рекурсивное время ожидания по умолчанию слишком мало.
Тестирование неработающего делегирования
Начните тесты в следующей процедуре, запросив допустимый корневой сервер. Этот тест позволяет выполнить запрос всех DNS-серверов из корня к серверу, который тестируется для неработающего делегирования.
В командной строке на тестируемом сервере введите следующее:
Тип записи ресурса — это тип записи ресурса, для которой был выполнен запрос в исходном запросе, а полное доменное имя — полное доменное имя, для которого выполнялись запросы (заканчивающиеся точкой).
Если ответ содержит список записей ресурсов "NS" и "A" для делегированных серверов, повторите шаг 1 для каждого сервера и используйте IP-адрес из записей ресурсов "A" в качестве IP-адреса сервера.
Если ответ не содержит запись ресурса NS, делегирование будет разорвано.
Если ответ содержит записи ресурсов "NS", но нет записей ресурсов "A", введите " задать рекурсию" и выполните запрос по отдельности для записей ресурсов "a" серверов, перечисленных в записях NS. Если вы не нашли по меньшей мере один допустимый IP-адрес записи ресурса "A" для каждой записи ресурса NS в зоне, то у вас есть неработающее делегирование.
Если вы определили, что вы используете неработающее делегирование, исправьте его, добавив или обновив запись ресурса "A" в родительской зоне, используя допустимый IP-адрес для соответствующего DNS-сервера для делегированной зоны.
Просмотр текущих корневых ссылок
Запустите консоль DNS.
Добавьте или подключитесь к DNS-серверу, который не прошел рекурсивный запрос.
Щелкните правой кнопкой мыши сервер и выберите пункт Свойства.
Щелкните корневые ссылки.
Проверьте наличие базовых подключений к корневым серверам.
Если правильно настроены корневые ссылки, убедитесь, что DNS-сервер, используемый в разрешении имен с ошибками, может проверить связь с корневыми серверами по IP-адресу.
Если корневые серверы не отвечают на проверку связи по IP-адресу, IP-адреса для корневых серверов могли измениться. Однако нередко можно увидеть перенастройку корневых серверов.
Проблемы с зонными ошибками
Выполните следующие проверки:
Проверьте Просмотр событий как для основного, так и для дополнительного DNS-сервера.
Проверьте сервер источника, чтобы узнать, не отправит ли он передачу данных для безопасности.
Проверьте вкладку зонные передачи свойств зоны в консоли DNS. Если сервер ограничит передачу зоны на список серверов, например на вкладке серверы имен в свойствах зоны, убедитесь, что сервер-получатель находится в этом списке. Убедитесь, что сервер настроен на отправку зонных передач.
Проверьте наличие проблем на основном сервере, выполнив действия, описанные в разделе Проверка проблем DNS-сервера . Когда появится запрос на выполнение задачи на клиенте, выполните задачу на сервере-получателе.
Проверьте, не работает ли на сервере-получателе другая реализация сервера DNS, например BIND. Если это так, проблема может быть вызвана одной из следующих причин:
Windows сервер-источник может быть настроен для отправки быстрых зонных передач, но сервер-получатель стороннего производителя может не поддерживать быструю передачу зоны. В этом случае отключите передачу данных с помощью быстрой зоны на сервере-источнике из консоли DNS, установив флажок включить вторичные базы данных-получатели на вкладке Дополнительно свойств сервера.
если зона прямого просмотра на Windows сервере содержит тип записи (например, запись SRV), которую сервер-получатель не поддерживает, то на сервере-получателе могут возникнуть проблемы с извлечением зоны.
Проверьте, запущена ли на сервере-источнике другая реализация сервера DNS, например BIND. если да, то возможно, что зона на сервере источника включает несовместимые записи ресурсов, которые Windows не распознает.
Если на главном или вторичном сервере используется другая реализация DNS-сервера, проверьте оба сервера, чтобы убедиться, что они поддерживают одни и те же функции. сервер Windows можно проверить на консоли DNS на вкладке дополнительно страницы свойства сервера. В дополнение к полю включить вторичные получатели привязок на этой странице содержится раскрывающийся список Проверка имен . Это позволяет выбрать принудительное соответствие требованиям RFC для символов в DNS-именах.
Читайте также: