iT邦幫忙

1

WINDOWS DNS SERVER 拒絕對次要區域的區域轉送要求

dns 次要區域轉送 區域轉送 dns server
orzzro 2023-01-30 10:40:331377 瀏覽

  • 分享至 

  • xImage

目前有兩台DNS Server 分別設定主要伺服器及次要區域 (皆未設定網域)
有發現設好之後於主要DNS新增 無法成功轉送到 次要區域

並於DNS事件 出現6525的錯誤訊息

在 111.11.11.11 的主要 DNS 伺服器拒絕對次要區域 test.com.tw 的區域轉送要求。請檢查主要伺服器 111.11.11.11 中的區域,確認這台伺服器是否可以進行區域轉送。請使用 DNS 主控台並選擇主要伺服器 111.11.11.11 做為可用的伺服器,然後在次要區域 test.com.tw 的 [內容] [區域轉送] 索引標籤中檢視設定。
請根據您所選擇的設定進行組態調整 (設定也可能在 [名稱伺服器] 索引標籤中),讓這台伺服器能夠執行區域轉送。

後來發現 在DNS 主要伺服器 如果允許區域轉送 設定 只到列在[名稱伺服器] 或只到下列伺服器 就都會出現上面錯誤(兩者都有設定次要區域DNS的IP),但如選到任何一台伺服器即可正常
https://ithelp.ithome.com.tw/upload/images/20230130/20105843ioiAf5Rx9w.jpg

而同時通知次要伺服器 的通知設設定,勾選自動通知是在[名稱伺服器] 之中,看來就有發生作用

因此,想要請教:
1.如要特別指定允許區域轉送的IP,要如何故障排除?
2.如果還是無法排除,而目前設定允許區域轉送 到任何一台伺服器 這樣會發生資安問題嗎?

謝謝

看更多先前的討論...收起先前的討論...
窮嘶發發發 iT邦高手 1 級 ‧ 2023-01-30 15:40:07 檢舉
test.com.tw 的主DNS 沒有 次DNS 的紀錄,假如你對 主DNS 有主控權,請把 次DNS 的紀錄加進去,而且 次DNS 的 NIC 的 DNS 指向必須指向 主DNS,然後印象中假如你的用戶端NIC的DNS 指向是外面的,例如 8.8.8.8,你在內部建立一個明顯是外面有人在用的DN,那你的用戶端打死也找不到你內部的 主DNS 跟 次DNS,請記住DNS 是階層式架構,你想要用假DN取代真DN,你要想辦法在中間截斷用戶端對真DN的查詢,這樣才能讓用戶端找到假DN的紀錄
orzzro iT邦新手 5 級 ‧ 2023-01-30 16:09:13 檢舉
有補充了,我目前不是想要用假DN去取代真DN的資料,而是目前區域轉送 上出了問題,我主要的DNS 設定好限定可以傳給次要的DNS SERVER 但會出現 拒絕對次要區域 轉送要求 如果允許到任何一台 就可以正常,謝謝
窮嘶發發發 iT邦高手 1 級 ‧ 2023-01-30 17:28:34 檢舉
區域轉送的意思樓主看起來不瞭解,區域轉送是本機沒有的就轉到另外一台,他不能是本域,例如本域是 abc.local,用戶端問 def.local,因為不是本域,所以他會轉送給其他的dns主機,而不是次要dns,次要dns 的紀錄是跟 主要dns同步的,兩台都是一樣的
窮嘶發發發 iT邦高手 1 級 ‧ 2023-01-31 09:48:58 檢舉
再補充一點,主DNS 的區域轉送,你可以給例如轉送到 8.8.8.8 或是 168.95.1.1 這樣,當你主DNS設定後,你在通知那選自動通知 次DNS的時候,在下次 主次DNS同步的時候,就會把這項轉送設定一併同步到次DNS,當你用戶端NIC指定使用次DNS 查詢到非本域紀錄時就會轉送到主DNS設定的外部DNS主機,大致上是這個觀念,一般設定主次DNS除了分散查詢流量,你用戶端也要另行指定,這可以透過DHCP 的POOL 去指定不同的POOL網段來達成這樣的要求
orzzro iT邦新手 5 級 ‧ 2023-02-03 09:25:54 檢舉
區域傳送 我目前測是OK的
其實我的問題只是在於 我設定只允許區域轉送的伺服器 是不能的 我都有設上去了
只要允許全部的 就可以正常運行
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
雷峰
iT邦研究生 1 級 ‧ 2023-01-30 12:19:01

有次要區域的設定畫面嗎?

看更多先前的回應...收起先前的回應...
orzzro iT邦新手 5 級 ‧ 2023-01-30 14:15:18 檢舉

OK,很單純就類型設定為次要區,及主要伺服器列表加上主要DNS Server的IP
https://ithelp.ithome.com.tw/upload/images/20230130/20105843LSIs7xhW9x.jpg

窮嘶發發發 iT邦高手 1 級 ‧ 2023-01-30 15:43:56 檢舉

所以在內部建立外部已經有人在用的域名是要幹嘛 .... 用戶端的DNS查詢截斷了沒 ...
https://ithelp.ithome.com.tw/upload/images/20230130/20097082WB0GD9Xy6P.png

orzzro iT邦新手 5 級 ‧ 2023-01-30 16:03:56 檢舉

您好,test.com.tw 是我PO上來特別換成這個名稱的 不是我真的網域名稱 目前不管是主要或次要的DNS Server 我用nslookup 去測都可以正常解析 謝謝

michaelwan iT邦高手 1 級 ‧ 2023-01-30 17:24:33 檢舉

看看次要DNS的SOA跟名稱伺服器還有NIC的DNS指的是誰

雷峰 iT邦研究生 1 級 ‧ 2023-02-01 13:49:05 檢舉

在次要網域點右鍵,有:
從主機轉送
從主機送新的區域副本
這個有點過嗎?

orzzro iT邦新手 5 級 ‧ 2023-02-03 09:27:51 檢舉

在次要網域點右鍵 從主機轉送 有點過,如有限制允許區域轉送的伺服器就會出現本文 PO出的 DNS事件 出現6525的錯誤訊息

如沒限制就可以成功轉送

orzzro iT邦新手 5 級 ‧ 2023-02-03 09:33:52 檢舉

次要DNS的SOA跟名稱伺服器還有NIC的DNS指的是誰
次要DNS SERVER 我DOMAIN的設定 SOA 是主要DNS (這好像也不能再改)
名稱伺服器 我有列上 主要DNS SERVER 和次要DNS SERVER
NIC DNS指的是其它台DNS 外部 (非主要DNS SERVER 和次要DNS SERVER)

雷峰 iT邦研究生 1 級 ‧ 2023-02-03 15:15:36 檢舉

次要DNS的SOA跟名稱伺服器還有NIC的DNS指的是誰
次要DNS SERVER 我DOMAIN的設定 SOA 是主要DNS (這好像也不能再改)
名稱伺服器 我有列上 主要DNS SERVER 和次要DNS SERVER
NIC DNS指的是其它台DNS 外部 (非主要DNS SERVER 和次要DNS SERVER)

這段看不懂0.0

orzzro iT邦新手 5 級 ‧ 2023-02-04 13:09:48 檢舉

這段看不懂0.0

不好意思,這是回覆前一位 michaelwan 的發問
基本上我目前的問題在於 主要DNS SERVER 有限定區域轉發的IP 就不能成功 但不限定就可以轉發成功

雷峰 iT邦研究生 1 級 ‧ 2023-02-06 13:49:05 檢舉

了解~不過我也是這樣設定的,還原不出來您的錯誤訊息= =+

orzzro iT邦新手 5 級 ‧ 2023-02-06 18:16:24 檢舉

謝謝 目前是允許所有IP 都可以區域轉發 就不知這樣會不會有資安疑慮

雷峰 iT邦研究生 1 級 ‧ 2023-02-07 12:12:47 檢舉

不客氣~

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22200
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙