Apenas um domínio não está sendo resolvido por meio do servidor DNS do Windows em vários locais, mas está em outros

3

Estou tendo um problema bem estranho. Problemas de entrega de e-mail para um domínio específico. Depois de olhar mais de perto, percebi que o DNS desse domínio não está sendo resolvido por meio do servidor DNS interno do Windows 2003 SP2.

C:\>nslookup foodmix.net 
Server:  DC.DOMAIN.com
Address:  10.1.1.1

 DNS request timed out.
     timeout was 2 seconds. DNS request timed out.
     timeout was 2 seconds.
 *** Request to DC.DOMAIN.com timed-out

(DC.DOMAIN.com e 10.1.1.1 são valores genéricos para substituir os reais)

Mesmo se eu executar este nslookup do servidor DC.DOMAIN.com, obtenho o mesmo resultado. No entanto, todas as outras solicitações estão funcionando como deveriam. Eu tinha um amigo sysadmin tentar esta pesquisa de DNS em servidores em várias empresas que ele consulta para (que também são servidores Windows 2003 AD). O estranho é que alguns destes estavam tendo o mesmo problema exato. No entanto, o uso de servidores DNS públicos funciona. Eu tentei limpar o cache do DNS, reiniciar o servidor, reiniciar os serviços, etc. Nada funcionou.

Um evento estranho que notei nos Logs de Eventos do Servidor DNS que podem estar relacionados é um ID de evento 5504 com a seguinte descrição:

The DNS server encountered an invalid domain name in a packet from 192.33.4.12. The packet will be rejected. The event data contains the DNS packet.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Na seção de dados abaixo, posso ver o seguinte:

ns2.webhostingstar.com

O que acontece é o servidor de nomes do domínio em questão. Diversos tópicos de discussão e um MS KB apontaram para a desativação do EDNS. Eu fiz isso via "dnscmd / config / enableednsprobes 0" e ele não corrigiu o problema.

Mais informações:
Eu adicionei um trecho de wireshark ( txt ) que mostra a consulta DNS. Só para esclarecer, a rede interna é a rede 2.0.0.0/22 é a rede interna (eu não configurei, e é estúpido que seja configurado dessa forma). O servidor DNS interno é 2.0.0.10.

Então, tanto quanto eu posso ver, aqui está o que está acontecendo:

  1. Solicitações internas do servidor DNS Um registro para foodmix.net de seu registro NS (ns2.webhostingstar.com) e ele não recebe resposta
  2. O servidor DNS interno envia outra solicitação com o mesmo ID de transação. Ele solicita um registro para foodmix.net de seu outro registro NS (ns.webhostingstar.com) e não recebe resposta
  3. O servidor DNS interno envia uma solicitação sob um novo ID de transação. Ele solicita um registro A para foodmix.net de um servidor de nomes 192.31.80.30 (d.gtld-servers.net).
  4. Recebe uma resposta de 192.31.80.30 sem registros, apenas listando os servidores NS autorizados.
por Brett G 30.05.2012 / 18:12

3 respostas

3

Ok, desculpe mandar todos vocês em uma perseguição. Realizou mais algumas sessões do Wireshark e percebeu que o ns.webhostingstar.com e o ns2.webhostingstar.com não estavam enviando nenhuma resposta. Então forcei nosso servidor DNS a sair de uma conexão de internet diferente da nossa e deu certo. Pelo que posso dizer, o servidor de nomes está bloqueando nossos pedidos vindos de alguns dos nossos IPs. Eu entrei em contato com as pessoas que executam o servidor e eles vão ver se eles podem corrigi-lo.

Atualizar
Depois de muitos testes, percebemos que o problema era que, de alguma forma, o tráfego que nos era enviado de sua rede estava sendo descartado. Acontece que eles tinham um arquivo desatualizado da IANA em algum lugar que listava todas as redes reservadas e estava bloqueando o tráfego para essas redes. Nossos endereços IP públicos se enquadravam em um desses intervalos, apesar do fato de ter sido alocado há algum tempo. Eles estavam usando apenas uma lista desatualizada.

    
por 07.06.2012 / 21:51
1

Usando as dicas de raiz padrão, se as informações de IP / DNS que você está tentando usar na infra-estrutura DNS do Windows 2003 forem as mesmas usadas pela Internet pública, por exemplo, no seu exemplo: foodmix.net. 86399 EM UM 204.x.y.z então você não precisa adicionar um encaminhador para o domínio, desde que o domínio foodmix.net não seja usado dentro da própria floresta de diretório ativo.

Com base nas entradas do seu log de eventos, encontrei o link que informa que os servidores DNS do Windows 2003 não oferecem suporte ao Atributo "DNAME".

Portanto, há algumas opções: instale os hotfixes mencionados no site do MS ou trabalhe com seu provedor DNS / configuração e remova o registro DNAME da zona foodmix.net.

De acordo com DavidB link , dnames são usados para alias árvores. Isso provavelmente será algo semelhante ao registro @ foodmix.net ou * .foodmix.net

    
por 02.06.2012 / 09:20
0

Faça o download do pacote do servidor bind dns de isc: Bind-9.9.1-P1 . Execute o BIND-Install.exe e instale apenas as ferramentas (desmarque outras caixas). Isso permitirá que você use a escavação em vez de nslookup. Se você fizer dig +trace foodmix.net , provavelmente conseguirá descobrir o que está acontecendo.

    
por 06.06.2012 / 17:41