Руководство по устранению неполадок DNS

  • Статья

Попробуйте наш виртуальный агент . Он поможет вам быстро определить и устранить распространенные проблемы с DNS.

Это решение предназначено для устранения неполадок в сценариях с системой доменных имен (DNS). Вы можете отсортировать устранение неполадок DNS по категориям на стороне сервера и клиента.

Контрольный список для устранения неполадок

Проблемы на стороне сервера

  • Ip-конфигурация
  • DNS-сервер
  • Достоверные данные
  • Рекурсии
  • Передача зоны

Проблемы на стороне клиента

  • Ip-конфигурация
  • Сетевое соединение

Распространенные проблемы и решения

Политика поддержки кэширования на стороне DNS-клиента в DNS-клиентах

Windows содержит кэш DNS на стороне клиента. Не рекомендуется отключать кэширование DNS на стороне клиента DNS на DNS-клиентах. Конфигурация, в которой кэширование dns на стороне клиента отключено, не поддерживается.

Корпорация Майкрософт не гарантирует, что решение будет найдено для проблем, связанных с неподдерживающимися устройствами или конфигурациями. Если решение не найдено, стоимость расследования инцидента не возвращается. Если решение не гарантируется, служба поддержки Майкрософт не устранит проблему и возмещает расходы на расследование инцидента.

Записи DNS отсутствуют в зоне DNS

Эта проблема может иметь одну из следующих причин.

Очистка DNS настроена неправильно

Если записи DNS отсутствуют в зонах DNS, наиболее распространенной причиной является очистка. Даже компьютеры под управлением Windows с статически назначенными DNS-серверами регистрируют свои записи каждые 24 часа. Проверьте, слишком ли низкие интервалы без обновления и обновления. Например, если оба значения меньше 24 часов, записи DNS будут потеряны.

Сведения об устранении этой проблемы и о интервалах без обновления см. в статье Использование старения и очистки DNS.

Запись узла "A" удаляется при изменении IP-адреса

Иногда запись узла "A" удаляется на исходном DNS-сервере после того, как запись узла "A" регистрируется на только что настроенном IP-адресе DNS-сервера (встроенная служба Active Directory DNS). С точки зрения пользователя все, что зависит от разрешения имен, нарушается. При изменении IP-адреса DNS-сервера на клиенте клиент отправляет обновление soa для удаления записи "A" с предыдущего DNS-сервера. Затем он отправляет еще одно обновление для регистрации своей записи "A" на новый DNS-сервер.

Проблема возникает в зонах, интегрированных с Active Directory. При изменении IP-адреса DNS-сервера на клиенте возникают проблемы. При изменении IP-адреса клиент отправляет запрос на регистрацию на новый сервер и отправляет запрос на удаление на предыдущий сервер. Так как оба сервера уже синхронизированы, записи не регистрируются. На предыдущем сервере служба DNS удаляет запись "A", а затем удаление реплицируется на новый сервер. В результате запись удаляется на обоих серверах.

DHCP-клиенты, использующие вариант 81 DHCP, отменяют регистрацию записей узла "A" во время регистрации узла "AAAA"

Эта проблема возникает, если dhcp-клиентские компьютеры используют сетевые адаптеры ISATAP или 6to4, а DNS-клиенты и DNS-серверы настроены на динамическое обновление записей DNS. Из-за такой конфигурации параметр DHCP 81 (также известный как параметр полного доменного имени клиента) включен как на клиентах, так и на серверах. В этом случае DHCP-сервер может создать запись DNS клиента "A" (IPv4). Затем клиент создает свою запись "AAAA" (IPv6). Однако в рамках этой операции клиент сначала отправляет обновленную запись "A", которая имеет срок жизни (TTL) 0. В результате DNS-сервер удаляет запись клиента "A" при регистрации записи "AAAA".

Чтобы обойти это поведение, избегайте настройки DHCP-клиентов, использующих эти адаптеры, для динамического обновления записей DNS, если DHCP-серверы уже настроены для этого.

Примечание.

Дополнительные сведения о варианте DHCP 81 см. в статье Непредвиденное поведение регистрации записей DNS, если DHCP-сервер использует "Всегда динамически обновлять записи DNS". В этой статье описана другая проблема, но более подробно описан вариант DHCP 81.

Сбой обновления протокола динамического обновления DNS для существующих записей DNS

Сбой обновления протокола динамического обновления DNS для существующих записей. Из-за этой проблемы процесс очистки DNS считает записи устаревшими и удаляет их.

Если для службы требуется запись SRV, локальная служба Netlogon регистрирует события с идентификатором события 577X, если не удается зарегистрировать записи SRV. Например, если служба Netlogon контроллера домена активирует динамическое обновление для записи SRV LDAP и это обновление завершается сбоем, служба Netlogon регистрирует событие на контроллере домена. Другие события регистрируются в журнале для ошибок регистрации записей узла "A" и PTR. Проверьте журналы системных событий на DNS-серверах и любых других затронутых компьютерах на наличие этих сбоев. Клиент, регистрирующий эти записи, может регистрировать такие события, или DHCP-серверы, которые регистрируют записи от имени клиента, могут регистрировать их. Эти дополнительные события могут понять причину сбоя.

При преобразовании активной динамической аренды в резервирование удаляются записи "A" и PTR для этого клиента.

Такое поведение является особенностью данного продукта. Записи DNS ("A" или PTR) автоматически обновляются во время следующего запроса на продление DHCP от клиента.

Избегайте регистрации нежелательных сетевых адаптеров в DNS

Если сетевой адаптер настроен для регистрации адреса подключения в DNS, службы клиентов DHCP/DNS регистрируют запись в DNS. Если на компьютере есть сетевой адаптер, который вы не хотите регистрировать, выполните следующие действия.

  1. В разделе Сетевой Connections откройте свойства нежелательного сетевого адаптера, откройте свойства TCP/IP, выберите Дополнительно>DNS, а затем снимите флажок Зарегистрировать этот адрес подключения в DNS.
  2. В левой области откройте консоль DNS-сервера, выделите сервер и выберите Свойства действия>.
  3. На вкладке Интерфейсы выберите прослушивать только следующие IP-адреса. Удалите нежелательный IP-адрес из списка.
  4. На странице Свойства зоны выберите вкладку Сервер имен . Помимо полного доменного имени контроллера домена, на этой вкладке отображается IP-адрес, связанный с контроллером домена. Удалите нежелательный IP-адрес, если он указан в списке.
  5. Удалите существующую нежелательную запись узла "A" контроллера домена.

Задержки ответа на запрос DNS

Запрос DNS может истекать, если DNS-сервер перенаправит запрос в недоступные серверы пересылки или корневые указания. Для устранения данной проблемы выполните действия, указанные ниже.

  1. Откройте консоль DNS на DNS-сервере и проверка, доступны ли серверы пересылки или условные серверы пересылки. Если какой-либо из серверов пересылки недоступен, удалите их.
  2. Если DNS-серверу не нужно использовать серверы пересылки и корневые указания, откройте консоль DNS на DNS-сервере, откройте окно Свойства сервера, выберите Дополнительно, а затем включите параметр Отключить рекурсию. (Этот параметр также отключает серверы пересылки.)

Идентификатор события 4004 и идентификатор события 4013

Сообщение о событии:

DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для использования сведений службы каталогов и не может работать без доступа к каталогу. DNS-сервер будет ожидать запуска каталога. Если DNS-сервер запущен, но соответствующее событие не зарегистрировано, DNS-сервер по-прежнему ожидает запуска каталога.

Сведения об устранении этой проблемы см. в статье Устранение неполадок AD DS и перезапуск службы DNS-сервера.

Политика географического расположения DNS-сервера не работает должным образом

Рассмотрим следующий сценарий.

  • Вы используете интегрированную в Active Directory зону (область зоны по умолчанию), которая называется "contoso.com".
  • Вы используете области зоны географического расположения, связанные с определенными подсетями.
  • Для настройки политик разрешения DNS используется командлет Windows PowerShellAdd-DnsServerQueryResolutionPolicy.

В этом сценарии клиент пытается найти запрошенный ресурс сначала в локальной зоне область, а затем в зоне по умолчанию область. Однако после настройки этих политик клиенты из определенных подсетей не смогут успешно разрешать записи, размещенные в область зоны по умолчанию (contoso.com). Например, клиенты не могут разрешить hostA.contoso.com. Когда DNS-сервер получает такие запросы, он возвращает сообщение "Сбой сервера".

Сведения об устранении этой проблемы см. в статье Политика географического расположения DNS-сервера не работает должным образом.

Сбой разрешения переадресованных DNS-имен для запросов с двойным стеком

Вы используете стороннее решение DNS-сервера и не можете согласованно разрешать имена при использовании условной пересылки.

Локальный DNS-сервер (10.100.100.70) может подключаться к DNS-серверу, настроенном в качестве условного сервера пересылки (10.133.3.250). Первый запрос от DNS-сервера к условной пересылке успешно разрешает имя (например, nbob1.contoso.com). Через некоторое время разрешение имен перестает работать. Запрос nslookup к условному серверу пересылки возвращает сообщение об ошибке "несуществующий домен".

Если очистить кэш DNS-сервера на компьютере переадресации (локальном DNS-сервере), разрешение имен будет возобновлено. Однако это временное исправление.

Сведения об устранении этой проблемы см. в разделе Сбой переадресованного разрешения DNS-имен для запросов с двойным стеком.

DNS-сервер теряет конфигурацию объединения сетевых карт

Рассмотрим следующий сценарий.

  • Компьютер DNS-сервера имеет несколько сетевых адаптеров, которые используются в конфигурации объединения сетевых карт.
  • Dns-сервер настраивается для прослушивания IP-адреса сетевого адаптера объединения.
  • На вкладке Интерфейсы диалогового окна свойства DNS-сервера в диспетчере DNS можно настроить IP-адрес, который вы хотите использовать.

После перезапуска DNS-сервера Windows удаляет этот параметр. DNS-сервер снова начинает прослушивать все IP-адреса.

Когда это изменение происходит, Windows записывает событие с идентификатором 410 в журнал событий DNS-сервера:

Список dns-серверов с ограниченным доступом интерфейсов не содержит допустимый IP-адрес для компьютера сервера. DNS-сервер будет использовать все IP-интерфейсы на компьютере. Используйте диалоговое окно свойств сервера диспетчера DNS, интерфейсы, чтобы проверить и сбросить IP-адреса, которые должен прослушивать DNS-сервер. Дополнительные сведения см. в разделе Ограничение прослушивания DNS-сервера только по выбранным адресам в справке по сети.

Чтобы устранить эту проблему, см. статью DNS-сервер восстанавливает прослушивание всех IP-адресов вместо настроенного IP-адреса объединения сетевых карт.

Поведение регистрации записей DNS, если DHCP-сервер управляет динамическими обновлениями DNS

У вас есть инфраструктура, которая использует dhcp-клиенты Windows и DHCP-серверы Майкрософт для назначения IP-адресов и управления ими. На DHCP-сервере выберите Включить динамические обновления DNS в соответствии с приведенными ниже параметрами и Всегда динамически обновлять записи DNS. В этой конфигурации ожидается, что DHCP-сервер будет управлять динамическими обновлениями DNS для записей "A" и "PTR". Однако вы заметили, что записи DNS создаются как клиентом, так и сервером. В зависимости от конфигурации это поведение имеет следующие последствия:

  • Если вы настроите зоны DNS для небезопасных и безопасных динамических обновлений, то увидите, что DHCP-сервер создает записи, а затем DHCP-клиент удаляет и повторно создает те же записи.
  • Если вы настроите зоны DNS для защиты только динамических обновлений, записи DNS могут стать несогласованными. И DHCP-сервер, и DHCP-клиент создают записи. Однако DHCP-сервер не может обновлять записи, создаваемые DHCP-клиентом, и DHCP-клиент не может обновлять записи, создаваемые DHCP-сервером.

Сведения об устранении этой проблемы см. в статье Поведение регистрации записей DNS, если для DHCP-сервера задано значение "Всегда динамически обновлять записи DNS".

Сбор данных

Прежде чем связаться с служба поддержки Майкрософт, вы можете собрать сведения о проблеме.

Предварительные требования

  • Запустите TSS в контексте безопасности учетной записи с правами администратора в локальной системе. При первом запуске TSS примите лицензионное соглашение. (После принятия лицензионного соглашения TSS больше не будет запрашивать запрос.)
  • Мы рекомендуем использовать RemoteSigned политику выполнения PowerShell на LocalMachine область.

Примечание.

Если текущая политика выполнения PowerShell не разрешает выполнение TSS, выполните следующие действия:

  1. RemoteSigned Задайте политику выполнения для уровня процесса, выполнив командлет Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned.
  2. Чтобы убедиться, что изменение вступает в силу, выполните Get-ExecutionPolicy -List командлет .

Эти разрешения уровня процесса применяются только к текущему сеансу PowerShell. После закрытия окна PowerShell, в котором выполняется служба TSS, назначенное разрешение для уровня процесса возвращается в ранее настроенное состояние.

Сбор ключевой информации перед обращением в службу поддержки Майкрософт

  1. Скачайте TSS на всех узлах и разверните файл в папку C:\tss .

  2. Откройте папку C:\tss в окне командной строки PowerShell с повышенными привилегиями.

  3. Запустите трассировку на клиенте и сервере, выполнив следующие командлеты:

    • Клиента:

      TSS.ps1 -Scenario NET_DNScli

    • Сервера:

      TSS.ps1 -Scenario NET_DNSsrv

  4. Примите лицензионное соглашение, если трассировки выполняются в первый раз на сервере или клиенте.

  5. Разрешить запись (PSR или видео).

    Примечание.

    Если вы собираете журналы как на клиенте, так и на сервере, дождитесь появления этого сообщения на обоих узлах, прежде чем воспроизвести проблему.

  6. Воспроизведите проблему.

  7. После воспроизведения проблемы введите Y , чтобы завершить ведение журнала данных.

TSS хранит трассировки в сжатом файле в папке C:\MS_DATA . Файл можно отправить в рабочую область для анализа.

Ссылки