Memecahkan masalah server DNS

  • Artikel

Coba Agen Virtual kami - Ini dapat membantu Anda dengan cepat mengidentifikasi dan memperbaiki masalah DNS umum.

Artikel ini membahas cara memecahkan masalah di server DNS.

Periksa konfigurasi IP

  1. Jalankan ipconfig /all pada prompt perintah, dan verifikasi alamat IP, subnet mask, dan gateway default.

  2. Periksa apakah server DNS berwenang untuk nama yang sedang dicari. Jika demikian, lihat Memeriksa masalah dengan data otoritatif.

  3. Jalankan perintah berikut:

    nslookup <name> <IP address of the DNS server>

    Contohnya:

    nslookup app1 10.0.0.1

    Jika Anda mendapatkan respons kegagalan atau waktu habis, lihat Memeriksa masalah rekursi.

  4. Bersihkan cache resolver. Untuk melakukan ini, jalankan perintah berikut di jendela Prompt Perintah administratif:

    dnscmd /clearcache

    Atau, di jendela PowerShell administratif, jalankan cmdlet berikut:

    Clear-DnsServerCache

  5. Ulangi langkah 3.

Periksa masalah server DNS

Log peristiwa

Periksa log berikut untuk melihat apakah ada kesalahan yang direkam:

  • Aplikasi

  • Sistem

  • Server DNS

Menguji dengan menggunakan kueri nslookup

Jalankan perintah berikut dan periksa apakah server DNS dapat dijangkau dari komputer klien.

nslookup <client name> <server IP address>

  • Jika resolver mengembalikan alamat IP klien, server tidak memiliki masalah.

  • Jika penyelesai menampilkan respons "Kegagalan server" atau "Kueri ditolak", kemungkinan zona dijeda, atau server mungkin kelebihan beban. Anda dapat mempelajari apakah zona dijeda dengan memeriksa tab Umum properti zona di konsol DNS.

Jika resolver mengembalikan respons "Permintaan ke server kehabisan waktu" atau "Tidak ada respons dari server", layanan DNS mungkin tidak berjalan. Cobalah untuk menghidupkan ulang layanan Server DNS dengan memasukkan perintah berikut ini di server:

net start DNS

Jika masalah terjadi saat layanan berjalan, server mungkin tidak mendengarkan alamat IP yang Anda gunakan dalam kueri nslookup Anda. Pada tab Antarmuka halaman properti server di konsol DNS, administrator dapat membatasi server DNS untuk hanya mendengarkan alamat yang dipilih. Jika server DNS telah dikonfigurasi untuk membatasi layanan ke daftar tertentu dari alamat IP yang dikonfigurasi, ada kemungkinan bahwa alamat IP yang digunakan untuk menghubungi server DNS tidak ada dalam daftar. Anda dapat mencoba alamat IP lain dalam daftar atau menambahkan alamat IP ke daftar.

Dalam kasus yang jarang terjadi, server DNS mungkin memiliki konfigurasi keamanan atau firewall tingkat lanjut. Jika server terletak di jaringan lain yang hanya dapat dijangkau melalui host perantara (seperti router pemfilteran paket atau server proksi), server DNS mungkin menggunakan port non-standar untuk mendengarkan dan menerima permintaan klien. Secara default, nslookup mengirim kueri ke server DNS pada port UDP 53. Oleh karena itu, jika server DNS menggunakan port lain, kueri nslookup gagal. Jika Anda berpikir bahwa ini mungkin masalahnya, periksa apakah filter perantara sengaja digunakan untuk memblokir lalu lintas pada port DNS terkenal. Jika tidak, coba ubah filter paket atau aturan port pada firewall untuk mengizinkan lalu lintas pada port UDP/TCP 53.

Memeriksa masalah dengan data otoritatif

Periksa apakah server yang mengembalikan respons yang salah adalah server utama untuk zona tersebut (server utama standar untuk zona atau server yang menggunakan integrasi Direktori Aktif untuk memuat zona) atau server yang menghosting salinan sekunder zona.

Jika server adalah server utama

Masalah ini mungkin disebabkan oleh kesalahan pengguna saat pengguna memasukkan data ke zona tersebut. Atau, mungkin disebabkan oleh masalah yang memengaruhi replikasi Direktori Aktif atau pembaruan dinamis.

Jika server menghosting salinan sekunder zona

  1. Periksa zona pada server utama (server tempat server ini menarik transfer zona).

    Catatan

    Anda dapat menentukan server mana yang merupakan server utama dengan memeriksa properti zona sekunder di konsol DNS.

    Jika nama tidak benar di server utama, buka langkah 4.

  2. Jika nama sudah benar di server utama, periksa apakah nomor seri pada server utama kurang dari atau sama dengan nomor seri di server sekunder. Jika ya, ubah server utama atau server sekunder sehingga nomor seri di server utama lebih besar dari nomor seri di server sekunder.

  3. Di server sekunder, paksa transfer zona dari dalam konsol DNS atau dengan menjalankan perintah berikut:

    dnscmd /zonerefresh <zone name>

    Misalnya, jika zona corp.contoso.com, masukkan: dnscmd /zonerefresh corp.contoso.com.

  4. Periksa server sekunder lagi untuk melihat apakah zona ditransfer dengan benar. Jika tidak, Anda mungkin memiliki masalah transfer zona. Untuk informasi selengkapnya, lihat Masalah Transfer Zona.

  5. Jika zona ditransfer dengan benar, periksa apakah data sekarang sudah benar. Jika tidak, data salah di zona utama. Masalah ini mungkin disebabkan oleh kesalahan pengguna saat pengguna memasukkan data ke zona tersebut. Atau, mungkin disebabkan oleh masalah yang memengaruhi replikasi Direktori Aktif atau pembaruan dinamis.

Memeriksa masalah rekursi

Agar rekursi berhasil berfungsi, semua server DNS yang digunakan dalam jalur kueri rekursif harus dapat merespons dan meneruskan data yang benar. Jika tidak bisa, kueri rekursif bisa gagal karena salah satu alasan berikut:

  • Waktu kueri habis sebelum dapat diselesaikan.

  • Server yang digunakan selama kueri gagal merespons.

  • Server yang digunakan selama kueri menyediakan data yang salah.

Mulai pemecahan masalah di server yang digunakan dalam kueri asli Anda. Periksa apakah server ini meneruskan kueri ke server lain dengan memeriksa tab Penerus di properti server di konsol DNS. Jika kotak centang Aktifkan penerus dipilih, dan satu atau beberapa server tercantum, server ini meneruskan kueri.

Jika server ini meneruskan kueri ke server lain, periksa masalah yang memengaruhi server tempat server ini meneruskan kueri. Untuk memeriksa masalah, lihat Memeriksa masalah Server DNS. Ketika bagian itu menginstruksikan Anda untuk melakukan tugas pada klien, lakukan di server sebagai gantinya.

Jika server sehat dan dapat meneruskan kueri, ulangi langkah ini, dan periksa server tempat server ini meneruskan kueri.

Jika server ini tidak meneruskan kueri ke server lain, uji apakah server ini bisa mengkueri server root. Untuk melakukannya, jalankan perintah berikut:

nslookup
server <IP address of server being examined>
set q=NS

  • Jika resolver mengembalikan alamat IP server root, Anda mungkin memiliki delegasi yang rusak antara server root dan nama atau alamat IP yang coba Anda atasi. Ikuti prosedur Uji delegasi yang rusak untuk menentukan di mana Anda memiliki delegasi yang rusak.

  • Jika resolver mengembalikan respons "Permintaan ke server kehabisan waktu", periksa apakah petunjuk akar menunjuk ke server akar yang berfungsi. Untuk melakukan ini, gunakan prosedur Untuk melihat petunjuk akar saat ini. Jika petunjuk akar menunjuk ke server akar yang berfungsi, Anda mungkin mengalami masalah jaringan, atau server mungkin menggunakan konfigurasi firewall tingkat lanjut yang mencegah pemecah masalah mengkueri server, seperti yang dijelaskan di bagian Periksa masalah server DNS. Ada kemungkinan juga bahwa default batas waktu rekursif terlalu pendek.

Menguji delegasi yang rusak

Mulai pengujian dalam prosedur berikut dengan mengkueri server akar yang valid. Pengujian ini membawa Anda melalui proses kueri semua server DNS dari root ke server yang Anda uji untuk delegasi yang rusak.

  1. Pada prompt perintah di server yang Sedang Anda uji, masukkan yang berikut ini:

    nslookup
server <server IP address>
set norecursion
set querytype= <resource record type>
<FQDN>

    Catatan

    Jenis catatan sumber daya adalah jenis rekaman sumber daya yang Anda kueri dalam kueri asli Anda, dan FQDN adalah FQDN yang Anda kueri (dihentikan oleh titik).

  2. Jika respons menyertakan daftar rekaman sumber daya "NS" dan "A" untuk server yang didelegasikan, ulangi langkah 1 untuk setiap server dan gunakan alamat IP dari rekaman sumber daya "A" sebagai alamat IP server.

    • Jika respons tidak berisi rekaman sumber daya "NS", Anda memiliki delegasi yang rusak.

    • Jika respons berisi rekaman sumber daya "NS", tetapi tidak ada rekaman sumber daya "A", masukkan set rekursi, dan kueri satu per satu untuk rekaman sumber daya "A" server yang tercantum dalam rekaman "NS". Jika Anda tidak menemukan setidaknya satu alamat IP yang valid dari rekaman sumber daya "A" untuk setiap rekaman sumber daya NS di zona, Anda memiliki delegasi yang rusak.

  3. Jika Anda menentukan bahwa Anda memiliki delegasi yang rusak, perbaiki dengan menambahkan atau memperbarui rekaman sumber daya "A" di zona induk dengan menggunakan alamat IP yang valid untuk server DNS yang benar untuk zona yang didelegasikan.

Untuk melihat petunjuk akar saat ini

  1. Mulai konsol DNS.

  2. Tambahkan atau sambungkan ke server DNS yang gagal kueri rekursif.

  3. Klik kanan server, dan pilih Properti.

  4. Klik Petunjuk Akar.

Periksa konektivitas dasar ke server akar.

  • Jika petunjuk akar tampaknya dikonfigurasi dengan benar, verifikasi bahwa server DNS yang digunakan dalam resolusi nama yang gagal dapat melakukan ping server akar berdasarkan alamat IP.

  • Jika server root tidak merespons ping dengan alamat IP, alamat IP untuk server root mungkin telah berubah. Namun, jarang melihat konfigurasi ulang server root.

Masalah Transfer Zona

Jalankan pemeriksaan berikut:

  • Periksa Pemantau Peristiwa untuk server DNS primer dan sekunder.

  • Periksa server utama untuk melihat apakah server menolak mengirim transfer untuk keamanan.

  • Periksa tab Transfer Zona properti zona di konsol DNS. Jika server membatasi transfer zona ke daftar server, seperti yang tercantum di tab Server Nama properti zona, pastikan server sekunder ada di daftar tersebut. Pastikan server dikonfigurasi untuk mengirim transfer zona.

  • Periksa masalah server utama dengan mengikuti langkah-langkah di bagian Periksa masalah server DNS. Ketika Anda diminta untuk melakukan tugas pada klien, lakukan tugas di server sekunder sebagai gantinya.

  • Periksa apakah server sekunder menjalankan implementasi server DNS lain, seperti BIND. Jika ya, masalahnya mungkin memiliki salah satu penyebab berikut:

    • Server utama Windows mungkin dikonfigurasi untuk mengirim transfer zona cepat, tetapi server sekunder pihak ketiga mungkin tidak mendukung transfer zona cepat. Jika demikian, nonaktifkan transfer zona cepat di server utama dari dalam konsol DNS dengan memilih kotak centang Aktifkan Sekunder Ikat pada tab Tingkat Lanjut dari properti untuk server Anda.

    • Jika zona pencarian maju di server Windows berisi jenis catatan (misalnya, catatan SRV) yang tidak didukung server sekunder, server sekunder mungkin mengalami masalah saat menarik zona.

Periksa apakah server utama menjalankan implementasi server DNS lain, seperti BIND. Jika demikian, ada kemungkinan bahwa zona di server utama menyertakan rekaman sumber daya yang tidak kompatibel yang tidak dikenali Windows.

Jika server master atau sekunder menjalankan implementasi server DNS lain, periksa kedua server untuk memastikan bahwa server mendukung fitur yang sama. Anda dapat memeriksa server Windows di konsol DNS pada tab Tingkat Lanjut dari halaman properti untuk server. Selain kotak Aktifkan sekunder Ikatan, halaman ini menyertakan daftar drop-down Pemeriksaan nama. Ini memungkinkan Anda memilih penegakan kepatuhan RFC yang ketat untuk karakter dalam nama DNS.