Обновлено 24.07.2019
Всем привет сегодня расскажу, как решается ошибка «Condition forwarding: An unknown error occurred while validating the server» в DNS Windows Server 2008 R2. В Windows 2008r2 при добавлении условной пересылки (condition forwarding) в DNS некоторые сервера не проходят проверку с ошибкой «An unknown error occurred while validating the server». Условную пересылку при этом добавить нельзя.
Вот как выглядит данное предупреждение.
При этом DNS-сервера могут быть вполне работоспособными. Чтобы обойти эту проверку, необходимо добавить условную пересылку утилитой dnscmd:
dnscmd /zoneadd <zone name> /forwarder <1st dns> <2nd dns> <etc>
Или, при желании держать условную пересылку в AD:
dnscmd /zoneadd <zone name> /dsforwarder <1st dns> <2nd dns> <etc>
Забавный момент: если в созданную пересылку с сервером, который не проходил проверку, зайти в свойства и открыть диалог изменения списка серверов, то каждый указанный сервер пройдёт проверку опять, но на этот раз успешно.
Ошибка Condition forwarding An unknown error occurred while validating the server в DNS Windows Server 2008 R2-02
Вот так вот просто решается ошибка Condition forwarding An unknown error occurred while validating the server в DNS Windows Server 2008 R2.
Материал сайта pyatilistnik.org
Июл 24, 2019 18:02
- Remove From My Forums
Серверы условной пересылки — работает только в одну сторону
-
General discussion
-
Есть два контроллера AD, обслуживающие разные домены:
main.domain.ru
cmd.domain.ru
Создаю в оснастке DNS на сервере AD cmd.domain.ru сервер условной пересылки на main.domain.ru: FDQN сервера сразу резолвится, зона создаётся и имена успешно разрешаются.
Аналогично, пытаюсь создать сервер условной пересылки на main.domain.ru: FDQN сервера «невозможно разрешить», «Сервер с таким IP-адресом не является полномочным для требуемой зоны». Затем
— «Ошибка при добавлении сервера условной пересылки. Произошла ошибка настройки зоны».В чём может быть дело?
- Changed type
Tuesday, June 26, 2018 7:22 AM
- Changed type
(Отказ от ответственности: я не являюсь администратором DNS в Windows. У меня есть приличный опыт работы с DNS, но это не имеет никакого смысла. Я тесно сотрудничаю с администраторами, отвечающими за эти устройства, и могу проводить тесты как необходимо).
Мы столкнулись с проблемой, когда мы не можем добавить условные серверы пересылки, которые указывают на серверы имен BIND в Windows Server 2012. Добавление IP-адреса сервера приводит к ошибке проверки: An unknown error occurred while validating the server.
Посмотрев журнал запросов на сервере BIND, мы обнаружили нечто довольно интересное: запрашивал DNS-сервер Windows . IN SOA, то есть запись SOA для корневых серверов имен. Нет запроса example.com. IN SOAвообще. Он пытается запросить полномочия root и не продолжает работу, когда получает ответ REFUSED.
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
Безумие. Чтобы пошутить, мы воспроизвели эту проблему в лаборатории. Я скачал копию корневой зоны и настроил .зону (комментируя мои корневые подсказки), и вот, эта ошибка больше не возникает.
Я действительно не понимаю этого. Я предоставляю авторитетный сервер имен, который не должен предоставлять ответы . SOA, и, в зависимости от обстоятельств, мне придется добавить эту зону на все наши производственные серверы, просто чтобы хорошо играть с Windows 2012. По моему опыту, Экспедитор должен интересоваться только тем, является ли целевой сервер имен полномочным для данной зоны.
Почему это происходит?
Если мы попытаемся игнорировать ошибку (в любом случае нажмите ОК), мы получим следующее сообщение об ошибке:
Журнал запросов по-прежнему показывает, что вышестоящий сервер только запрашивает . IN SOA. Никогда не делается попытка проверить, является ли сервер авторитетным для example.com..
- Remove From My Forums
-
Question
-
Hi all
We are experiencing an issue when trying to create a new DNS conditional forwarder on the domain controllers for «domain a». The forwarder we are trying to create, zone1.company.com, was originally configured on the «domain a» DC’s
as a primary AD integrated zone. After moving the zone to the DC’s for «domain b» we are now trying to create a conditional forwarder to allow «domain a» clients to be able to resolve zone1.company.com records. The zone has been
completely removed from the «domain a» DC’s as far as I can see (DNS console, ADSIedit)When we trying a create the forwarder we receive an error message:
Also tried using dnscmd and received the following:
The same thing happens whether we try to create it as an AD integrated or non AD integrated conditional forwarder. After deleting the zone we have waited some time, and forced replication, however the same issue is occurring.
I can create a conditional forwarded for different domains with no issues so it is only related to zone1.company.com.
As a workaround I have created an AD integrated stub zone for this zone in «domain a» instead which worked fine. for consistence sake we’d prefer to use a conditional forwarder.
There is nothing appearing in the event logs related to this issue which is really strange.
Does anyone know what could be causing this? Help would be appreciated.
Cheers
Brady- Edited by
Friday, September 4, 2015 1:36 AM
added info
- Edited by
Answers
-
Hi Brady,
On your DNS server, is there a zone «company.com»?
If yes, it is not supported to create a conditional forwarder for zone «zone1.company.com».
In that case, we could create a stub zone(as you mentioned) or delegation.
Here is the reference for delegating zones:
Delegating zones:
https://technet.microsoft.com/en-us/library/cc784494%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396Best Regards,
Leo
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.
- Marked as answer by
Kenman87
Wednesday, September 9, 2015 6:15 AM
- Marked as answer by
- Remove From My Forums
-
Question
-
Hi all
We are experiencing an issue when trying to create a new DNS conditional forwarder on the domain controllers for «domain a». The forwarder we are trying to create, zone1.company.com, was originally configured on the «domain a» DC’s
as a primary AD integrated zone. After moving the zone to the DC’s for «domain b» we are now trying to create a conditional forwarder to allow «domain a» clients to be able to resolve zone1.company.com records. The zone has been
completely removed from the «domain a» DC’s as far as I can see (DNS console, ADSIedit)When we trying a create the forwarder we receive an error message:
Also tried using dnscmd and received the following:
The same thing happens whether we try to create it as an AD integrated or non AD integrated conditional forwarder. After deleting the zone we have waited some time, and forced replication, however the same issue is occurring.
I can create a conditional forwarded for different domains with no issues so it is only related to zone1.company.com.
As a workaround I have created an AD integrated stub zone for this zone in «domain a» instead which worked fine. for consistence sake we’d prefer to use a conditional forwarder.
There is nothing appearing in the event logs related to this issue which is really strange.
Does anyone know what could be causing this? Help would be appreciated.
Cheers
Brady- Edited by
Friday, September 4, 2015 1:36 AM
added info
- Edited by
Answers
-
Hi Brady,
On your DNS server, is there a zone «company.com»?
If yes, it is not supported to create a conditional forwarder for zone «zone1.company.com».
In that case, we could create a stub zone(as you mentioned) or delegation.
Here is the reference for delegating zones:
Delegating zones:
https://technet.microsoft.com/en-us/library/cc784494%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396Best Regards,
Leo
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.
- Marked as answer by
Kenman87
Wednesday, September 9, 2015 6:15 AM
- Marked as answer by
|
0 / 0 / 0 Регистрация: 27.04.2019 Сообщений: 113 |
|
|
1 |
|
|
Server 2016 Невозможно провести разрешение. Сервер условной пересылки13.04.2020, 16:17. Показов 1041. Ответов 2
Во время настройки сервера условной пересылки, одна виртуальная машина не может связаться с другой виртуальной машиной. Сетевые подключения: Прошу помощи с решением данной проблемы Миниатюры
__________________ 0 |
|
233 / 223 / 46 Регистрация: 12.12.2012 Сообщений: 1,926 |
|
|
16.04.2020, 00:46 |
2 |
|
Что же Вы такое делаете ? Вы знаете для чего сервер пересылки ? У Вас один лес и одна подсеть, чего Вы патаетесь добиться? 0 |
|
174 / 166 / 28 Регистрация: 20.10.2014 Сообщений: 1,037 |
|
|
21.04.2020, 17:59 |
3 |
|
cwa1110, молодой человек, это не для этого. Добавлено через 42 секунды
Предпочитаемый Dns-сервер: 127.0.0.1 — 127.0.0.1 и это, я считаю то же не правильно, при наличии 2-х DNS серверов в сети 0 |
|
IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604 |
21.04.2020, 17:59 |
|
Помогаю со студенческими работами здесь Невозможно изменить разрешение экрана Невозможно разрешение имени хоста, Centos 7 В некоторых приложениях… Сервер на сокетах: невозможно повторно запустить сервер
Невозможно подключиться к сервер Невозможно найти удаленный сервер Искать еще темы с ответами Или воспользуйтесь поиском по форуму: 3 |
RDP сервер разрешение экранаВ этой статье мы рассмотрим два способа организации условного разрешения имен в DNS сервере на Windows Server 2016: DNS conditional forwarding и DNS policy. Эти технологии позволяют настроить условное разрешение DNS имен в зависимости от запрошенного имени, IP адреса и местоположения клиента, времени суток и т.д.
Содержание:
- Настройка DNS Conditional Forwarder в Windows Server
- Настройка DNS Conditional Forwarding с помощью PowerShell
- Фильтрация запросов DNS, политики разрешения имен в Windows Server 2016
Условная пересылка DNS (Conditional Forwarding) позволяет перенаправить DNS запросы об определенном домене на определенные DNS-сервера. Обычно Conditional Forwarders используется, когда нужно настроить быстрое разрешение имен между несколькими внутренними приватными доменами, или вы не хотите, чтобы DNS запросы с вашего сервера пересылались через публичную сеть Интернет. В этом случае вы можете создать на DNS сервере правило DNS пересылки DNS запросов для определенной доменной зоны (только !!!) на определенный DNS сервер.
Настройка DNS Conditional Forwarder в Windows Server
Попробуем настроить условное перенаправление DNS запросов для определенной доменной зоны на Windows Server 2016. Например, я хочу, чтобы все DNS запросы к зоне corp.winitpro.ru пересылались на DNS сервер 10.1.10.11.
- Запустите консоль управления DNS (
dnsmgmt.msc
); - Разверните ваш DNS сервер, щелкните правой кнопкой по разделу Conditional Forwarders и выберите New Conditional Forwarder;
- В поле DNS domain укажите FQDN имя домена, для которого нужно включить условную пересылку;
- В поле IP addresses of the master servers укажите IP адрес DNS сервера, на который нужно пересылать все запросы для указанного пространства имен;
- Если вы хотите хранить правило условной переадресации не только на этом DNS сервере, вы можете интегрировать его в AD. Выберите опцию “Store this conditional forwarder in Active Directory”;
- Выберите правило репликации записи conditional forwarding (All DNS servers in this forest, All DNS servers in this domain или All domain controllers in this domain).
Настройка DNS Conditional Forwarding с помощью PowerShell
Вы можете создать правило Conditional Forward для определенной DNS зоны с помощью PowerShell. Воспользуйтесь командлетом Add-DnsServerConditionalForwarderZone:
Add-DnsServerConditionalForwarderZone -Name dmz.winitpro.ru -MasterServers 192.168.1.11,192.168.101.11 -ReplicationScope Forest
Чтобы вывести список DNS Conditional Forwarders на определенном сервере, выполните следующий PowerShell скрипт:
$DNSServer = "DC01"
$Zones = Get-WMIObject -Computer $DNSServer -Namespace "rootMicrosoftDNS" -Class "MicrosoftDNS_Zone"
$Zones | Select-Object Name,MasterServers,DsIntegrated,ZoneType | where {$_.ZoneType -eq "4"} | ft -AutoSize
Фильтрация запросов DNS, политики разрешения имен в Windows Server 2016
В Windows Server 2016 появилась новая фича в службе DNS сервера – DNS политики. DNS политики позволяют настроить DNS сервер так, чтобы он возвращал различные ответы на DNS запросы в зависимости от местоположения клиента (с какого IP адреса или подсети пришел запрос), интерфейса DNS сервера, времени суток, типа запрошенной записи (A, CNAME, PTR, MX) и т.д. DNS политики в Windows Server 2016 позволяют реализовать сценарии балансировки нагрузки, фильтрации DNS трафика, возврата DNS записей в зависимости от геолокации (IP адреса клиента) и многие другие сложные сценарии.
Вы можете создать политику как на уровне DNS сервера, так и на уровне всей зоны. Настройка DNS политик в Windows Server 2016 возможна только из командной строки PowerShell.
Попробуем создать простую политику, которая позволяет вернуть разный ответ на DNS запрос в зависимости от геолокации клиента. Допустим, вы хотите, чтобы клиенты в каждом офисе использовали собственный прокси на площадке. Вы создали политику назначения прокси в домене (на всех клиентах будет указано proxy.winitpro.ru). Но клиент из каждого офиса должен резолвить этот адрес по-разному, чтобы использовать для доступа свой локальный прокси-сервер.
Я создал 3 подсети для разных офисов компании:
Add-DnsServerClientSubnet -Name "MSK_DNS_Subnet" -IPv4Subnet "192.168.1.0/24"
Add-DnsServerClientSubnet -Name "EKB_DNS_Subnet" -IPv4Subnet "192.168.11.0/24"
Add-DnsServerClientSubnet -Name "SPB_DNS_Subnet" -IPv4Subnet "192.168.21.0/24"
Эти команды придется выполнить на всех DNS серверах, на которых должна работать условная политика DNS. Эти записи не реплицируются в DNS и хранятся локально в реестре DNS сервера. Вы можете указать имя сервера с помощью параметра
-ComputerName dc01
.
Чтобы вывести список всех IP подсетей клиентов, выполните:
Get-DnsServerClientSubnet
Теперь нужно для каждого офиса создать отдельную DNS область:
Add-DnsServerZoneScope -ZoneName “winitpro.ru” -Name “MSKZoneScope”
Add-DnsServerZoneScope -ZoneName “winitpro.ru” -Name “EKBZoneScope”
Add-DnsServerZoneScope -ZoneName “winitpro.ru” -Name “SPBZoneScope”
Следующие команды добавят 3 DNS записи с одним именем, но указывающие на разные IP адреса в разных областях DNS:
Add-DnsServerResourceRecord -ZoneName “winitpro.ru” -A -Name “proxy” -IPv4Address “192.168.1.10” -ZoneScope “MSKZoneScope”
Add-DnsServerResourceRecord -ZoneName “winitpro.ru” -A -Name “proxy” -IPv4Address “192.168.11.10” -ZoneScope “EKBZoneScope”
Add-DnsServerResourceRecord -ZoneName “winitpro.ru” -A -Name “proxy” -IPv4Address “192.168.21.10” -ZoneScope “SPBZoneScope”
Вы можете вывести все ресурсные DNS записи для области с помощью команды:
Get-DnsServerResourceRecord -ZoneName “winitpro.ru” -ZoneScope SPBZoneScope
Теперь нужно создать DNS политики, которые свяжут IP подсети, DNS области и A записи.
Add-DnsServerQueryResolutionPolicy -Name “MSKResolutionPolicy” -Action ALLOW -ClientSubnet “eq,MSK_DNS_Subnet” -ZoneScope “MSKZoneScope,1” -ZoneName “winitpro.ru” –PassThru
Add-DnsServerQueryResolutionPolicy -Name “EKBResolutionPolicy” -Action ALLOW -ClientSubnet “eq,EKB_DNS_Subnet” -ZoneScope “EKBZoneScope,1” -ZoneName “winitpro.ru” -PassThru
Add-DnsServerQueryResolutionPolicy -Name “SPBResolutionPolicy” -Action ALLOW -ClientSubnet “eq,SPB_DNS_Subnet” -ZoneScope “SPBZoneScope,1” -ZoneName “winitpro.ru” –PassThru
В DNS политиках доступны следующие действия:
-
-Action ALLOW -
-Action DENY -
-Action IGNORE
Можно использовать следующие параметры в фильтре DNS:
-InternetProtocol "EQ,IPv4,NE,IPv6"
-TransportProtocol "EQ,UDP,TCP"
-ServerInterfaceIP "EQ,192.168.1.21"
-QType "EQ,A,AAAA,NE,PTR"
-TimeOfDay "EQ,9:00-18:00"
Вывести список всех DNS политик для DNS зоны на сервере можно так:
Get-DnsServerQueryResolutionPolicy -ZoneName winitpro.ru
Теперь с устройств из различных офисов проверьте, что DNS сервер на один и тот же запрос возвращает различные IP адреса прокси:
nslookup proxy.winitpro.ru
Можно запретить DNS серверу возвращать DNS адреса для определенного пространства имен (домена):
Add-DnsServerQueryResolutionPolicy -Name 'BlockFidhingPolicy' -Action IGNORE -FQDN "EQ,*.cberbank.ru"
Обновлено 24.07.2019
Всем привет сегодня расскажу, как решается ошибка «Condition forwarding: An unknown error occurred while validating the server» в DNS Windows Server 2008 R2. В Windows 2008r2 при добавлении условной пересылки (condition forwarding) в DNS некоторые сервера не проходят проверку с ошибкой «An unknown error occurred while validating the server». Условную пересылку при этом добавить нельзя.
Вот как выглядит данное предупреждение.
При этом DNS-сервера могут быть вполне работоспособными. Чтобы обойти эту проверку, необходимо добавить условную пересылку утилитой dnscmd:
dnscmd /zoneadd <zone name> /forwarder <1st dns> <2nd dns> <etc>
Или, при желании держать условную пересылку в AD:
dnscmd /zoneadd <zone name> /dsforwarder <1st dns> <2nd dns> <etc>
Забавный момент: если в созданную пересылку с сервером, который не проходил проверку, зайти в свойства и открыть диалог изменения списка серверов, то каждый указанный сервер пройдёт проверку опять, но на этот раз успешно.
Ошибка Condition forwarding An unknown error occurred while validating the server в DNS Windows Server 2008 R2-02
Вот так вот просто решается ошибка Condition forwarding An unknown error occurred while validating the server в DNS Windows Server 2008 R2.
Материал сайта pyatilistnik.org
Июл 24, 2019 18:02
- Remove From My Forums
Серверы условной пересылки — работает только в одну сторону
-
General discussion
-
Есть два контроллера AD, обслуживающие разные домены:
main.domain.ru
cmd.domain.ru
Создаю в оснастке DNS на сервере AD cmd.domain.ru сервер условной пересылки на main.domain.ru: FDQN сервера сразу резолвится, зона создаётся и имена успешно разрешаются.
Аналогично, пытаюсь создать сервер условной пересылки на main.domain.ru: FDQN сервера «невозможно разрешить», «Сервер с таким IP-адресом не является полномочным для требуемой зоны». Затем
— «Ошибка при добавлении сервера условной пересылки. Произошла ошибка настройки зоны».В чём может быть дело?
-
Changed type
Tuesday, June 26, 2018 7:22 AM
-
Changed type
(Отказ от ответственности: я не являюсь администратором DNS в Windows. У меня есть приличный опыт работы с DNS, но это не имеет никакого смысла. Я тесно сотрудничаю с администраторами, отвечающими за эти устройства, и могу проводить тесты как необходимо).
Мы столкнулись с проблемой, когда мы не можем добавить условные серверы пересылки, которые указывают на серверы имен BIND в Windows Server 2012. Добавление IP-адреса сервера приводит к ошибке проверки: An unknown error occurred while validating the server.
Посмотрев журнал запросов на сервере BIND, мы обнаружили нечто довольно интересное: запрашивал DNS-сервер Windows . IN SOA, то есть запись SOA для корневых серверов имен. Нет запроса example.com. IN SOAвообще. Он пытается запросить полномочия root и не продолжает работу, когда получает ответ REFUSED.
client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)
Безумие. Чтобы пошутить, мы воспроизвели эту проблему в лаборатории. Я скачал копию корневой зоны и настроил .зону (комментируя мои корневые подсказки), и вот, эта ошибка больше не возникает.
Я действительно не понимаю этого. Я предоставляю авторитетный сервер имен, который не должен предоставлять ответы . SOA, и, в зависимости от обстоятельств, мне придется добавить эту зону на все наши производственные серверы, просто чтобы хорошо играть с Windows 2012. По моему опыту, Экспедитор должен интересоваться только тем, является ли целевой сервер имен полномочным для данной зоны.
Почему это происходит?
Если мы попытаемся игнорировать ошибку (в любом случае нажмите ОК), мы получим следующее сообщение об ошибке:
Журнал запросов по-прежнему показывает, что вышестоящий сервер только запрашивает . IN SOA. Никогда не делается попытка проверить, является ли сервер авторитетным для example.com..
Loading