सर्वर 2012R2 DNS सर्वर कुछ AAAA प्रश्नों के लिए SERVFAIL को लौटाता है


17

(मेरे मूल परीक्षणों में से बहुत से इस सवाल का जवाब देते हुए नई जानकारी के प्रकाश में अप्रासंगिक हैं)

मैं सर्वर 2012R2 DNS सर्वर के साथ समस्याएँ आ रहा हूँ। इन मुद्दों का सबसे बड़ा दुष्प्रभाव एक्सचेंज ईमेल नहीं है। ए रिकॉर्ड्स की कोशिश करने से पहले AAAA रिकॉर्ड के लिए एक्सचेंज क्वेरीज़। जब यह AAAA रिकॉर्ड के लिए SERVFAIL को देखता है, तो यह A रिकॉर्ड करने की कोशिश भी नहीं करता है, यह बस छोड़ देता है।

कुछ डोमेन के लिए, जब मेरी सक्रिय निर्देशिका DNS सर्वर के खिलाफ क्वेरी की जाती है, तो मुझे बिना किसी परिणाम के NOERROR के बजाय SERVFAIL मिलता है।

मैंने कई अलग-अलग सर्वर 2012R2 डोमेन नियंत्रकों से यह कोशिश की है जो DNS चला रहे हैं। उनमें से एक एक अलग फ़ायरवॉल और इंटरनेट कनेक्शन के पीछे एक अलग नेटवर्क पर एक पूरी तरह से अलग डोमेन है।

दो पते कि मुझे पता है कि यह समस्या है smtpgw1.gov.on.caऔरmxmta.owm.bell.net

मैं इसे digजांचने के लिए एक linux मशीन का उपयोग कर रहा हूं (192.168.5.5 मेरा डोमेन नियंत्रक है):

grant@linuxbox:~$ dig @192.168.5.5 smtpgw1.gov.on.ca -t AAAA

; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> @192.168.5.5 smtpgw1.gov.on.ca -t AAAA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56328
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;smtpgw1.gov.on.ca.             IN      AAAA

;; Query time: 90 msec
;; SERVER: 192.168.5.5#53(192.168.5.5)
;; WHEN: Wed Oct 21 14:09:10 EDT 2015
;; MSG SIZE  rcvd: 46

लेकिन उम्मीद के मुताबिक एक सार्वजनिक डोमेन नियंत्रक के खिलाफ प्रश्न:

grant@home-ssh:~$ dig @4.2.2.1 smtpgw1.gov.on.ca -t AAAA

; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> @4.2.2.1 smtpgw1.gov.on.ca -t AAAA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 269
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 8192
;; QUESTION SECTION:
;smtpgw1.gov.on.ca.             IN      AAAA

;; Query time: 136 msec
;; SERVER: 4.2.2.1#53(4.2.2.1)
;; WHEN: Wed Oct 21 14:11:19 EDT 2015
;; MSG SIZE  rcvd: 46

जैसा कि मैंने कहा, मैंने दो अलग-अलग नेटवर्क और डोमेन पर यह कोशिश की है। एक बिल्कुल नया डोमेन है, जिसमें निश्चित रूप से DNS के लिए सभी डिफ़ॉल्ट सेटिंग्स हैं। अन्य को सर्वर 2012 में माइग्रेट कर दिया गया है, इसलिए 2003/2008 से कुछ पुरानी सेटिंग्स को ले जाया जा सकता है। मुझे उन दोनों पर समान परिणाम मिलते हैं।

EDNS dmscnd /config /enableednsprobes 0को इसे ठीक करने के साथ अक्षम करना। मैं EDNS के बारे में सर्वर 2003 में एक समस्या होने के बारे में कई खोज परिणाम देखता हूं, लेकिन सर्वर 2012 में जो मैं देख रहा हूं उससे बहुत मेल नहीं खाता। न तो फ़ायरवॉल को ईडीएनएस के साथ कोई समस्या है। EDNS को अक्षम करना केवल एक अस्थायी समाधान होना चाहिए - यह DNSSEC के उपयोग को रोकता है, और अन्य मुद्दों का कारण हो सकता है।

मैंने सर्वर 2008R2 और EDNS के साथ मुद्दों के बारे में कुछ पोस्ट भी देखे हैं, लेकिन उन्हीं पोस्टों को सर्वर 2012 में तय किया गया है, इसलिए इसे ठीक से काम करना चाहिए।

मैंने DNS के लिए डीबग लॉग को सक्षम करने का भी प्रयास किया है। मैं उन पैकेटों को देख सकता हूं जिनकी मुझे उम्मीद थी, लेकिन यह मुझे इतनी जानकारी नहीं देता है कि यह SERVFAIL क्यों लौट रहा है। यहाँ DNS सर्वर डीबग लॉग के प्रासंगिक भाग हैं:

पहला पैकेट - क्लाइंट से मेरे DNS सर्वर पर क्वेरी

10/16/2015 9:42:29 AM 0974 PACKET 000000EFF1BF01A0 UDP Rcv 172.16.0.254 a61e Q [2001 D NOERROR] AAAA (7) smtpg1 (3) gov (2) on (2) ca (0)
UDP प्रश्न जानकारी 000000EFF1BF01A0 पर
  सॉकेट = 508
  रिमोट एड्रैस 172.16.0.254, पोर्ट 50764
  समय क्वेरी = 4556080, पंक्तिबद्ध = 0, समाप्ति = 0
  Buf लंबाई = 0x0fa0 (4000)
  Msg लंबाई = 0x002e (46)
  संदेश:
    XID 0xa61e
    झंडे 0x0120
      क्यूआर 0 (प्रश्न)
      OPCODE 0 (QUERY)
      एए ०
      तृक ०
      आरडी 1
      आरए ०
      जेड 0
      सीडी ०
      ई। १
      RCODE 0 (NOERROR)
    प्रश्न १
    ACOUNT 0
    NSCOUNT 0
    ARCOUNT 1
    सवाल खंड:
    ऑफसेट = 0x000 सी, आरआर गणना = 0
    नाम "(7) smtpgw1 (3) gov (2) ऑन (2) सीए (0)"
      क्यूएवाईएएएएए (28)
      QCLASS 1
    उत्तर अनुभाग:
      खाली
    AUTHORITY सेक्शन:
      खाली
    अतिरिक्त अनुभाग:
    ऑफसेट = 0x0023, आरआर गणना = 0
    नाम "(0)"
      टाइप ऑप्ट (41)
      ४० ९ ६
      टीटीएल 0
      DLEN 0
      डेटा   
        बफर आकार = 4096
        Rode Ext = 0
        पूर्णांक = 0
        वर्जन = ०
        झंडे = ०

दूसरा पैकेट - मेरे DNS सर्वर से उनके DNS सर्वर से क्वेरी

10/16/2015 9:42:29 AM 0974 PACKET 000000EFF0A22160 UDP Snd 204.41.8.237 3e6c Q [0000 NOERROR] AAAA (7) smtpgw1 (3) gov (2) on (2) ca (0)
UDP प्रश्न सूचना 000000EFF0A22160 पर
  सॉकेट = 9812
  रिमोट एड्र 204.41.8.237, पोर्ट 53
  समय क्वेरी = 0, पंक्तिबद्ध = 0, समाप्ति = 0
  Buf लंबाई = 0x0fa0 (4000)
  Msg लंबाई = 0x0023 (35)
  संदेश:
    XID 0x3e6c
    झंडे 0x0000
      क्यूआर 0 (प्रश्न)
      OPCODE 0 (QUERY)
      एए ०
      तृक ०
      आरडी ०
      आरए ०
      जेड 0
      सीडी ०
      ई
      RCODE 0 (NOERROR)
    प्रश्न १
    ACOUNT 0
    NSCOUNT 0
    ARCOUNT 0
    सवाल खंड:
    ऑफसेट = 0x000 सी, आरआर गणना = 0
    नाम "(7) smtpgw1 (3) gov (2) ऑन (2) सीए (0)"
      क्यूएवाईएएएएए (28)
      QCLASS 1
    उत्तर अनुभाग:
      खाली
    AUTHORITY सेक्शन:
      खाली
    अतिरिक्त अनुभाग:
      खाली

तीसरा पैकेट - उनके DNS सर्वर (NOERROR) से प्रतिक्रिया

10/16/2015 9:42:29 AM 0974 PACKET 000000EFF2188100 UDP Rcv 204.41.8.237 3e6c RQ [0084 A NOERROR] AAAA (7) smtww1 (3) gov (2) on (2) ca (0)
000000EFF2188100 पर UDP प्रतिक्रिया जानकारी
  सॉकेट = 9812
  रिमोट एड्र 204.41.8.237, पोर्ट 53
  समय क्वेरी = 4556080, पंक्तिबद्ध = 0, समाप्ति = 0
  Buf लंबाई = 0x0fa0 (4000)
  Msg लंबाई = 0x0023 (35)
  संदेश:
    XID 0x3e6c
    झंडे 0x8400
      क्यूआर 1 (RESPONSE)
      OPCODE 0 (QUERY)
      एए १
      तृक ०
      आरडी ०
      आरए ०
      जेड 0
      सीडी ०
      ई
      RCODE 0 (NOERROR)
    प्रश्न १
    ACOUNT 0
    NSCOUNT 0
    ARCOUNT 0
    सवाल खंड:
    ऑफसेट = 0x000 सी, आरआर गणना = 0
    नाम "(7) smtpgw1 (3) gov (2) ऑन (2) सीए (0)"
      क्यूएवाईएएएएए (28)
      QCLASS 1
    उत्तर अनुभाग:
      खाली
    AUTHORITY सेक्शन:
      खाली
    अतिरिक्त अनुभाग:
      खाली

चौथा पैकेट - मेरे DNS सर्वर से क्लाइंट (SERVFAIL) की प्रतिक्रिया

10/16/2015 9:42:29 AM 0974 पैकेट 000000EFF1BF01A0 UDP Snd 172.16.0.254 a61e RQ [8281 DR SERVFAIL] AAAA (7) smtww1 (3) gov (2) on (2) ca (0)
000000EFF1BF01A0 पर UDP प्रतिक्रिया जानकारी
  सॉकेट = 508
  रिमोट एड्रैस 172.16.0.254, पोर्ट 50764
  समय क्वेरी = 4556080, पंक्तिबद्ध = 4556080, समय सीमा = 4556083
  Buf लंबाई = 0x0fa0 (4000)
  Msg लंबाई = 0x002e (46)
  संदेश:
    XID 0xa61e
    झंडे 0x8182
      क्यूआर 1 (RESPONSE)
      OPCODE 0 (QUERY)
      एए ०
      तृक ०
      आरडी 1
      आरए 1
      जेड 0
      सीडी ०
      ई
      RCODE 2 (SERVFAIL)
    प्रश्न १
    ACOUNT 0
    NSCOUNT 0
    ARCOUNT 1
    सवाल खंड:
    ऑफसेट = 0x000 सी, आरआर गणना = 0
    नाम "(7) smtpgw1 (3) gov (2) ऑन (2) सीए (0)"
      क्यूएवाईएएएएए (28)
      QCLASS 1
    उत्तर अनुभाग:
      खाली
    AUTHORITY सेक्शन:
      खाली
    अतिरिक्त अनुभाग:
    ऑफसेट = 0x0023, आरआर गणना = 0
    नाम "(0)"
      टाइप ऑप्ट (41)
      वर्ग 4000
      टीटीएल 0
      DLEN 0
      डेटा   
        बफर आकार = 4000
        Rode Ext = 0
        Rode Full = 2
        वर्जन = ०
        झंडे = ०

नोट की अन्य बातें:

  • नेटवर्क में से एक में देशी आईपीवी 6 इंटरनेट का उपयोग होता है, दूसरा नहीं (लेकिन आईपीवी 6 स्टैक डिफ़ॉल्ट सेटिंग्स वाले सर्वर पर सक्षम है)। IPv6 नेटवर्क समस्या प्रतीत नहीं होती है
  • यह सभी डोमेन को प्रभावित नहीं करता है। उदाहरण के लिए dig @192.168.5.5 -t AAAA serverfault.com, NOERROR देता है, और कोई परिणाम नहीं। google.comGoogle के IPv6 पतों को ठीक से भेजने के लिए समान बात है।
  • KB3014171 से हॉटफ़िक्स स्थापित करने की कोशिश की , कोई फर्क नहीं पड़ा
  • KB3004539 से अपडेट पहले से इंस्टॉल है।

7 नवंबर 2015 को संपादित करें

मैंने सर्वर 2012R2 मशीन में एक और नॉन-डोमेन जॉइन किया है, और DNS सर्वर भूमिका स्थापित की है, और कमांड के साथ परीक्षण किया गया है nslookup -type=aaaa smtpgw1.gov.on.ca localhost। यह एक ही मुद्दे नहीं है।

दोनों VMs एक ही होस्ट और एक ही नेटवर्क पर हैं, जिससे किसी भी नेटवर्क / फ़ायरवॉल की समस्या समाप्त हो जाती है। यह अब पैच लेवल या डोमेन मेम्बर / डोमेन कंट्रोलर होने के कारण नीचे आता है, जिससे फर्क पड़ता है।

संपादित करें नवंबर 8, 2015

सभी अपडेट लागू किए, कोई फर्क नहीं पड़ा। अगर मेरे नए परीक्षण सर्वर और मेरे डोमेन नियंत्रक की DNS सेटिंग्स के बीच कोई कॉन्फ़िगरेशन अंतर था, तो डबल चेक के माध्यम से चला गया और वहाँ हैं - डोमेन नियंत्रक में फारवर्डर सेटअप था।

अब, मुझे यकीन है कि मैंने अपने शुरुआती परीक्षणों में और इसके बिना फारवर्डर्स के साथ कोशिश की, लेकिन मैंने केवल digएक लिनक्स मशीन से इसका उपयोग करने की कोशिश की । जब मैं एक विंडोज़ मशीन पर nslookup का उपयोग करता हूं, तो मैं फ़ॉरवर्ड सेटअप के साथ (बिना Google, OpenDNS, 4.2.2.1 और मेरे ISP DNS सर्वर के साथ) थोड़ा अलग परिणाम प्राप्त करता हूं।

एक फारवर्डर सेट के साथ, मुझे मिलता है Server failed

फारवर्डर के बिना (इसलिए यह रूट डीएनएस सर्वर का उपयोग करता है), मुझे मिलता है No IPv6 address (AAAA) records available for smtpgw1.gov.on.ca

लेकिन यह अभी भी वही नहीं है जो मुझे अन्य डोमेन के लिए मिलता है जिनके पास IPv6 रिकॉर्ड नहीं है - विंडोज़ पर nslookup सिर्फ अन्य डोमेन के लिए कोई परिणाम नहीं देता है।

फ़ॉरवर्डर्स के साथ या बिना, digअभी भी SERVFAILउस नाम के लिए दिखाता है जब मेरी विंडोज़ डीएनएस सर्वर को क्वेरी करता है।

समस्या डोमेन और अन्य लोगों के बीच एक छोटा सा अंतर है जो प्रासंगिक लगता है, तब भी जब मैं अपने विंडोज़ डीएनएस सर्वर को शामिल नहीं करता हूं:

dig -t aaaa @8.8.8.8 smtpgw1.gov.on.ca कोई जवाब नहीं है, और एक प्राधिकरण अनुभाग नहीं है।

dig -t aaaa @8.8.8.8 serverfault.comकोई जवाब नहीं देता है, लेकिन एक प्राधिकरण अनुभाग है। इसलिए मेरे द्वारा उपयोग किए जाने वाले अधिकांश अन्य डोमेन, चाहे मैं किसी भी रिज़ॉल्वर का उपयोग करूं।

तो वह प्राधिकरण अनुभाग क्यों गायब है, और जब अन्य DNS सर्वर नहीं करते हैं तो Windows DNS सर्वर इसे विफलता क्यों मानता है?


क्या आप Exchange सर्वर से ये परीक्षण कर रहे हैं? यदि नहीं, तो मैं आपको ऐसा करने का सुझाव दूंगा ताकि आप इसे एक्सचेंज के दृष्टिकोण से देख सकें। आप Exchange सर्वर से SMTPDiag को भी चलाने का प्रयास कर सकते हैं। मैं एक्सचेंज सर्वर पर नेटवर्क कैप्चर करते समय इसे चलाने का सुझाव दूंगा ताकि आप नेटवर्क / डीएनएस गतिविधि का विवरण देख सकें। SMTPDiag एक पुराना टूल है, लेकिन यह एक कमांड लाइन टूल है जिसे किसी भी इंस्टॉलेशन की आवश्यकता नहीं है, इसलिए मैं सोच रहा हूं कि यह Exchange के सभी संस्करणों पर काम करना चाहिए। - microsoft.com/en-us/download/details.aspx?id=11393
joeqwerty

कुछ नेटवर्क डिवाइस पहचान नहीं करते हैं और EDNS पैकेट को अस्वीकार कर देंगे। क्या आपकी नेटवर्क टीम ने हाल ही में नई डिवाइस / सेटिंग शुरू की है? इस संभावना को खत्म करने के लिए, google.com के AAAA रिकॉर्ड को हल करने का प्रयास करें, इसे एक IPv6 पता वापस करना चाहिए।
मजबूत दिनांक

@strongline EDNS पैकेट ठीक के माध्यम से आते हैं। गूगल के कामों के लिए AAAA रिकॉर्ड, जैसा कि मुझे पता है कि कुछ अन्य साइटों पर IPv6 चल रहा है। केवल हाल ही में बनाया गया मौका हमारे पिछले सर्वर 2008R2 DC / DNS सर्वर से छुटकारा पा रहा था और 2012R2 के साथ बदल रहा था।
अनुदान

क्या आपके वातावरण में IPv6 किसी भी तरह से अक्षम है?
जिम बी

@JimB न तो वास्तव में सक्षम है और न ही अक्षम है ... IPv6 स्टैक सर्वर पर चल रहा है, क्योंकि यह डिफ़ॉल्ट रूप से है, इसके साथ जो भी डिफ़ॉल्ट कॉन्फ़िगरेशन है। गेटवे और इंटरनेट कनेक्शन का कोई IPv6 नहीं है।
ग्रांट

जवाबों:


3

मैं कुछ और किया और कुछ पढ़ने नेटवर्क tace में देखा है। AAAA रिकॉर्ड के लिए सबसे पहले, जब गैर-मौजूद होता है, तो SOA देता है। SOA चालू एक भिन्न डोमेन के लिए है जिसे अनुरोध किया जा रहा है। मुझे संदेह है कि Windows प्रतिक्रिया को अस्वीकार क्यों कर रहा है। Mx.atomwide.com के लिए AAAA का अनुरोध करें। Lgfl.org.uk के लिए प्रतिक्रिया SOA मैं देखूंगा कि क्या हम इस जानकारी के साथ कुछ प्रगति कर सकते हैं। संपादित करें: भविष्य के संदर्भ के लिए, अस्थायी रूप से "प्रदूषण के खिलाफ सुरक्षित कैश" को बंद करने से क्वेरी सफल हो जाएगी। आदर्श नहीं है, लेकिन यह साबित करता है कि समस्या डोडी DNS रिकॉर्ड के साथ है। RFC4074 भी एक अच्छा संदर्भ है - परिचय और अनुभाग।


मैं अपने वातावरण में आज यह परीक्षण करने की कोशिश करने जा रहा हूं, लेकिन मुझे लगता है कि आप कुछ पर हो सकते हैं!
अनुदान

इसके अलावा मैंने आपके लिंक को भी संपादित कर दिया है - हस्ताक्षर और ऑफ टॉपिक लिंक की अनुमति यहां नहीं है, और मैं आपके अन्यथा उत्कृष्ट उत्तर को इसके द्वारा हटाए जाने को नहीं देखना चाहता।
ग्रांट

0

KB832223 के अनुसार

कारण

Windows Server DNS में समर्थित DNS (EDNS0) कार्यक्षमता के लिए एक्सटेंशन मैकेनिज्म के कारण यह समस्या होती है।

EDNS0 बड़ा उपयोगकर्ता डेटाग्राम प्रोटोकॉल (UDP) पैकेट आकार की अनुमति देता है। हालाँकि, कुछ फ़ायरवॉल प्रोग्राम UDP पैकेट को अनुमति नहीं दे सकते जो 512 बाइट्स से बड़े हैं। इसलिए, इन DNS पैकेट्स को फ़ायरवॉल द्वारा ब्लॉक किया जा सकता है।

Microsoft का निम्न संकल्प है:

संकल्प

इस समस्या को हल करने के लिए, 512 बाइट्स से बड़े UDP पैकेट को पहचानने और अनुमति देने के लिए फ़ायरवॉल प्रोग्राम को अपडेट करें। ऐसा कैसे करें के बारे में अधिक जानकारी के लिए, अपने फ़ायरवॉल प्रोग्राम के निर्माता से संपर्क करें।

Microsoft के पास इस मुद्दे पर काम करने के लिए निम्नलिखित सुझाव हैं:

वैकल्पिक हल

इस समस्या को हल करने के लिए, EDNS0 सुविधा को Windows- आधारित DNS सर्वरों पर बंद करें। ऐसा करने के लिए, निम्नलिखित कार्रवाई करें:

कमांड प्रॉम्प्ट पर, निम्न कमांड टाइप करें, और उसके बाद Enter दबाएँ:

dnscmd /config /enableednsprobes 0

नोट टाइप करें 0 (शून्य) और न कि अक्षर "O" इस कमांड में "enableednspields" के बाद।


मैंने इस लेख को देखा है - जिन फ़ायरवॉल को मैंने दोनों बड़े डीएनएस पैकेट के साथ बिना किसी समस्या के परीक्षण किया है, जैसा कि इसके द्वारा स्पष्ट रूप से लिनक्स पर काम कर रहा है। एडन्स को निष्क्रिय करना DNSSEC के उपयोग को रोकता है, इसलिए यह समस्या को ठीक करता है लेकिन यह एक अच्छा समाधान नहीं है।
अनुदान

खेद है कि मुझे एहसास नहीं था कि Microsoft का मार्गदर्शन लिनक्स पर भी लागू होगा। जिज्ञासा से बाहर, क्या आपके पास कोई Microsoft ओएस है जो फ़ायरवॉल के माध्यम से काम कर रहा है?
टिम पेनर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.