Encaminhador condicional de DNS a recusar pedidos para _mcdcs.remote.domain
Eu tenho um servidor de AD local com DNS instalado chamado (adserver.mydomain.local) Para permitir relações de confiança com outros domínios, configuramos vários encaminhamentos condicionais para servidores de AD remotos. Tudo isso funciona bem, exceto por um: encaminha a maioria das solicitações corretamente, mas quando recebe uma solicitação para ._msdcs.remote.domain, ele a rejeita sem tentar entrar em contato com o servidor remoto, mesmo depois de limpar o cache dos servidores DNS. Esse problema começou depois que os servidores do AD no local remoto foram substituídos. Esse problema de DNS faz com que as pesquisas do registro SRV _ldap._tcp.dc._msdcs.remote.domain falhem, o que impede que a confiança do AD funcione corretamente, pois os servidores locais podem encontrar um servidor de login para o domínio remoto.
Se eu executar um nslookup diretamente para os servidores DNS remoto.domain, ele funciona corretamente, esse problema só é visto quando a solicitação é passada pelo encaminhador condicional. Isso afeta tanto um Windows 2003 quanto um servidor AD do Windows 2008 no domínio local.
A mensagem usando nslookup é "adserver.mydomain.local não pode encontrar _ldap._tcp.dc._msdcs.remote.domain: Query refused"
Olhando para um rastreamento de rede, o servidor DNS está retornando uma resposta "recusada".
Por que o servidor DNs faria isso para qualquer addess sob _msdcs.remote.domain e como posso corrigi-lo? Os encaminhadores condicionais para todos os outros domínios estão funcionando corretamente, é apenas este que está causando problemas. _msdcs.remote.domain
Se eu detectar o tráfego de rede, será assim:
Solicitação:
+ Udp: SrcPort = 59685, DstPort = DNS(53), Length = 57
- Dns: QueryId = 0x9, QUERY (Standard query), Query for _ldap._tcp.dc._msdcs.remote.domain of type SRV on class Internet
QueryIdentifier: 9 (0x9)
- Flags: Query, Opcode - QUERY (Standard query), RD, Rcode - Success
QR: (0...............) Query
Opcode: (.0000...........) QUERY (Standard query) 0
AA: (.....0..........) Not authoritative
TC: (......0.........) Not truncated
RD: (.......1........) Recursion desired
RA: (........0.......) Recursive query support not available
Zero: (.........0......) 0
AuthenticatedData: (..........0.....) Not AuthenticatedData
CheckingDisabled: (...........0....) Not CheckingDisabled
Rcode: (............0000) Success 0
QuestionCount: 1 (0x1)
AnswerCount: 0 (0x0)
NameServerCount: 0 (0x0)
AdditionalCount: 0 (0x0)
- QRecord: _ldap._tcp.dc._msdcs.sctcns.net of type SRV on class Internet
QuestionName: _ldap._tcp.dc._msdcs.remote.domain
QuestionType: SRV, Server Selection/NBSTAT, NetBIOS NODE STATUS, 33(0x21)
QuestionClass: Internet, 1(0x1)
Resposta:
+ Udp: SrcPort = DNS(53), DstPort = 59685, Length = 57
- Dns: QueryId = 0x9, QUERY (Standard query), Response - Refused
QueryIdentifier: 9 (0x9)
- Flags: Response, Opcode - QUERY (Standard query), AA, RD, RA, Rcode - Refused
QR: (1...............) Response
Opcode: (.0000...........) QUERY (Standard query) 0
AA: (.....1..........) Is authoritative
TC: (......0.........) Not truncated
RD: (.......1........) Recursion desired
RA: (........1.......) Recursive query support available
Zero: (.........0......) 0
AuthenticatedData: (..........0.....) Not AuthenticatedData
CheckingDisabled: (...........0....) Not CheckingDisabled
Rcode: (............0101) Refused 5
QuestionCount: 1 (0x1)
AnswerCount: 0 (0x0)
NameServerCount: 0 (0x0)
AdditionalCount: 0 (0x0)
- QRecord: _ldap._tcp.dc._msdcs.remote.domaint of type SRV on class Internet
QuestionName: _ldap._tcp.dc._msdcs.remote.domain
QuestionType: SRV, Server Selection/NBSTAT, NetBIOS NODE STATUS, 33(0x21)
QuestionClass: Internet, 1(0x1)
Algumas outras questões surgem: O seu encaminhador é uma instalação de servidor DNS da Microsoft ou um servidor DNS de outro fornecedor? Por acaso você tem uma zona chamada remote.domain neste servidor? Onde você tirou seus bonés? A configuração de encaminhamento ainda está correta em relação aos endereços de servidor DNS do domínio de destino?
Como uma rápida & solução alternativa suja que você pode considerar fazer uma transferência de zona para remote.domain ou configurar um zona de stub .