Устранение неполадок DNS-серверов Troubleshooting DNS servers

В этой статье описывается, как устранять неполадки на DNS-серверах. This article discusses how to troubleshoot issues on DNS servers.

Проверка IP-конфигурации Check IP configuration

Выполните ipconfig /all команду из командной строки и проверьте IP-адрес, маску подсети и шлюз по умолчанию. Run ipconfig /all at a command prompt, and verify the IP address, subnet mask, and default gateway.

Проверьте, является ли DNS-сервер полномочным для имени, которое ищется. Check whether the DNS server is authoritative for the name that is being looked up. Если это так, см. раздел Проверка на наличие проблем с достоверными данными. If so, see Checking for problems with authoritative data.

Выполните следующую команду. Run the following command:

Например: For example:

Если вы получаете ответ об ошибке или истечении времени ожидания, см. раздел Проверка проблем с рекурсией. If you get a failure or time-out response, see Checking for recursion problems.

Очистка кэша сопоставителя. Flush the resolver cache. Для этого выполните следующую команду в окне командной строки с правами администратора: To do this, run the following command in an administrative Command Prompt window:

Или в окне администрирования PowerShell выполните следующий командлет: Or, in an administrative PowerShell window, run the following cmdlet:

Повторите шаг 3. Repeat step 3.

Проверка неполадок DNS-сервера Check DNS server problems

Журнал событий Event log

Проверьте следующие журналы, чтобы узнать, есть ли записанные ошибки: Check the following logs to see whether there are any recorded errors:

DNS-сервер DNS Server

Тестирование с помощью запроса nslookup Test by using nslookup query

Выполните следующую команду и проверьте, доступен ли DNS-сервер с клиентских компьютеров. Run the following command and check whether the DNS server is reachable from client computers.

Если сопоставитель возвращает IP-адрес клиента, у сервера нет проблем. If the resolver returns the IP address of the client, the server does not have any problems.

Если сопоставитель возвращает ответ «сбой сервера» или «Запрос отклонен», зона может быть приостановлена или сервер может быть перегружен. If the resolver returns a «Server failure» or «Query refused» response, the zone is probably paused, or the server is possibly overloaded. Чтобы узнать, приостановлен ли он, перейдите на вкладку Общие окна свойств зоны в консоли DNS. You can learn whether it’s paused by checking the General tab of the zone properties in the DNS console.

Если сопоставитель возвращает ответ «запрос на превышение времени ожидания сервера» или «нет ответа от сервера», возможно, служба DNS не запущена. If the resolver returns a «Request to server timed out» or «No response from server» response, the DNS service probably is not running. Попробуйте перезапустить службу DNS-сервера, введя следующую команду в командной строке на сервере: Try to restart the DNS Server service by entering the following at a command prompt on the server:

Если проблема возникает при запуске службы, сервер может не прослушивать IP-адрес, который использовался в запросе nslookup. If the issue occurs when the service is running, the server might not be listening on the IP address that you used in your nslookup query. На вкладке интерфейсы страницы свойств сервера консоли DNS администраторы могут ограничить DNS-сервер прослушиванием только выбранных адресов. On the Interfaces tab of the server properties page in the DNS console, administrators can restrict a DNS server to listen on only selected addresses. Если DNS-сервер настроен для ограничения службы указанным списком настроенных IP-адресов, то возможно, что IP-адрес, используемый для связи с DNS-сервером, отсутствует в списке. If the DNS server has been configured to limit service to a specific list of its configured IP addresses, it’s possible that the IP address that’s used to contact the DNS server is not in the list. Можно попробовать использовать другой IP-адрес в списке или добавить IP-адрес в список. You can try a different IP address in the list or add the IP address to the list.

В редких случаях DNS-сервер может иметь расширенную конфигурацию безопасности или брандмауэра. In rare cases, the DNS server might have an advanced security or firewall configuration. Если сервер расположен в другой сети, доступной только через промежуточный узел (например, маршрутизатор фильтрации пакетов или прокси-сервер), DNS-сервер может использовать нестандартный порт для прослушивания и получения клиентских запросов. If the server is located on another network that is reachable only through an intermediate host (such as a packet filtering router or proxy server), the DNS server might use a non-standard port to listen for and receive client requests. По умолчанию программа nslookup отправляет запросы на DNS-серверы через порт UDP 53. By default, nslookup sends queries to DNS servers on UDP port 53. Поэтому, если DNS-сервер использует любой другой порт, запросы nslookup завершатся ошибкой. Therefore, if the DNS server uses any other port, nslookup queries fail. Если вы считаете, что это может быть проблема, проверьте, используется ли промежуточный фильтр для блокировки трафика на хорошо известных портах DNS. If you think that this might be the problem, check whether an intermediate filter is intentionally used to block traffic on well-known DNS ports. Если это не так, попробуйте изменить фильтры пакетов или правила портов в брандмауэре, чтобы разрешить трафик через порт UDP/TCP 53. If it’s not, try to modify the packet filters or port rules on the firewall to allow traffic on UDP/TCP port 53.

Проверка на наличие проблем с достоверными данными Checking for problems with authoritative data

Проверьте, является ли сервер, который возвращает неверный ответ, основным сервером для зоны (основным сервером-источником для зоны или сервером, который использует интеграцию Active Directory для загрузки зоны) или сервер, на котором размещена дополнительная копия зоны. Check whether the server that returns the incorrect response is a primary server for the zone (the standard primary server for the zone or a server that uses Active Directory integration to load the zone) or a server that’s hosting a secondary copy of the zone.

Если сервер является сервером-источником If the server is a primary server

Проблема может быть вызвана ошибкой пользователя при вводе пользователем данных в зону. The problem might be caused by user error when users enter data into the zone. Кроме того, это может быть вызвано проблемой, которая влияет на Active Directory репликацию или динамическое обновление. Or, it might be caused by a problem that affects Active Directory replication or dynamic update.

Если на сервере размещается дополнительная копия зоны If the server is hosting a secondary copy of the zone

Изучите зону на сервере-источнике (сервере, с которого этот сервер извлекает зоны). Examine the zone on the primary server (the server from which this server pulls zone transfers).

Вы можете определить, какой сервер является сервером-источником, проверив свойства дополнительной зоны в консоли DNS. You can determine which server is the primary server by examining the properties of the secondary zone in the DNS console.

Если на сервере-источнике указано неправильное имя, перейдите к шагу 4. If the name is not correct on the primary server, go to step 4.

Если на сервере-источнике указано правильное имя, убедитесь, что серийный номер на сервере-источнике меньше или равен серийному номеру на сервере-получателе. If the name is correct on the primary server, check whether the serial number on the primary server is less than or equal to the serial number on the secondary server. Если это так, измените либо сервер-источник, либо сервер-получатель, чтобы серийный номер на сервере-источнике был больше, чем серийный номер на сервере-получателе. If it is, modify either the primary server or the secondary server so that the serial number on the primary server is greater than than the serial number on the secondary server.

На сервере-получателе выполните принудительную пересылку зоны с помощью консоли DNS или выполните следующую команду: On the secondary server, force a zone transfer from within the DNS console or by running the following command:

Например, если зона — corp.contoso.com, введите: dnscmd /zonerefresh corp.contoso.com . For example, if the zone is corp.contoso.com, enter: dnscmd /zonerefresh corp.contoso.com .

Изучите сервер-получатель еще раз, чтобы узнать, правильно ли передана зона. Examine the secondary server again to see whether the zone was transferred correctly. В противном случае у вас, вероятно, возникает проблема с переносом зоны. If not, you probably have a zone transfer problem. Дополнительные сведения см. в статье проблемы зонных передач. For more information, see Zone Transfer Problems.

Если зона была передана правильно, проверьте, правильно ли указаны данные. If the zone was transferred correctly, check whether the data is now correct. В противном случае данные в основной зоне неверны. If not, the data is incorrect in the primary zone. Проблема может быть вызвана ошибкой пользователя при вводе пользователем данных в зону. The problem might be caused by user error when users enter data into the zone. Кроме того, это может быть вызвано проблемой, которая влияет на Active Directory репликацию или динамическое обновление. Or, it might be caused by a problem that affects Active Directory replication or dynamic update.

Проверка проблем с рекурсией Checking for recursion problems

Чтобы рекурсия работала успешно, все DNS-серверы, используемые в пути рекурсивного запроса, должны иметь возможность отвечать и пересылать правильные данные. For recursion to work successfully, all DNS servers that are used in the path of a recursive query must be able to respond and forward correct data. Если это не так, рекурсивный запрос может завершиться ошибкой по одной из следующих причин: If they can’t, a recursive query can fail for any of the following reasons:

Время ожидания запроса истекло, прежде чем его можно будет завершить. The query times out before it can be completed.

Сервер, используемый во время запроса, не отвечает. A server that’s used during the query fails to respond.

Сервер, используемый во время запроса, предоставляет неверные данные. A server that’s used during the query provides incorrect data.

Начните устранение неполадок на сервере, который использовался в исходном запросе. Start troubleshooting at the server that was used in your original query. Проверьте, пересылает ли этот сервер запросы на другой сервер, изучив вкладку серверы пересылки в свойствах сервера в консоли DNS. Check whether this server forwards queries to another server by examining the Forwarders tab in the server properties in the DNS console. Если флажок включить серверы пересылки установлен и в списке присутствует один или несколько серверов, этот сервер перенаправляет запросы. If the Enable forwarders check box is selected, and one or more servers are listed, this server forwards queries.

Если этот сервер пересылает запросы на другой сервер, проверьте наличие проблем, влияющих на сервер, на который сервер пересылает запросы. If this server does forward queries to another server, check for problems that affect the server to which this server forwards queries. Чтобы проверить наличие проблем, см. раздел Проверка неполадок DNS-сервера. To check for problems, see Check DNS Server problems. Когда этот раздел предписывает выполнить задачу на клиенте, выполните его на сервере. When that section instructs you to perform a task on the client, perform it on the server instead.

Если сервер находится в работоспособном состоянии и может пересылать запросы, повторите этот шаг и проверьте сервер, на который сервер пересылает запросы. If the server is healthy and can forward queries, repeat this step, and examine the server to which this server forwards queries.

Если этот сервер не перенаправляет запросы на другой сервер, проверьте, может ли этот сервер запрашивать корневой сервер. If this server does not forward queries to another server, test whether this server can query a root server. Для этого выполните следующую команду: To do this, run the following command:

Если сопоставитель возвращает IP-адрес корневого сервера, возможно, имеется разорванное делегирование между корневым сервером и именем или IP-адресом, который вы пытаетесь разрешить. If the resolver returns the IP address of a root server, you probably have a broken delegation between the root server and the name or IP address that you’re trying to resolve. Следуйте инструкциям по тестированию неработающей процедуры делегирования , чтобы определить, где находится неработающее делегирование. Follow the Test a broken delegation procedure to determine where you have a broken delegation.

Если сопоставитель возвращает ответ «запрос на превышение времени ожидания сервера», проверьте, указывает ли корневые ссылки на работоспособность корневых серверов. If the resolver returns a «Request to server timed out» response, check whether the root hints point to functioning root servers. Для этого используйте для просмотра текущей процедуры корневых ссылок . To do this, use the To view the current root hints procedure. Если корневые ссылки указывают на работающие корневые серверы, возможно, возникла проблема с сетью или сервер может использовать расширенную конфигурацию брандмауэра, которая не позволяет арбитру конфликтов запрашивать сервер, как описано в разделе Проверка проблем DNS-сервера . If the root hints do point to functioning root servers, you might have a network problem, or the server might use an advanced firewall configuration that prevents the resolver from querying the server, as described in the Check DNS server problems section. Также возможно, что рекурсивное время ожидания по умолчанию слишком мало. It’s also possible that the recursive time-out default is too short.

Тестирование неработающего делегирования Test a broken delegation

Начните тесты в следующей процедуре, запросив допустимый корневой сервер. Begin the tests in the following procedure by querying a valid root server. Этот тест позволяет выполнить запрос всех DNS-серверов из корня к серверу, который тестируется для неработающего делегирования. The test takes you through a process of querying all the DNS servers from the root down to the server that you’re testing for a broken delegation.

В командной строке на тестируемом сервере введите следующее: At the command prompt on the server that you’re testing, enter the following:

Тип записи ресурса — это тип записи ресурса, для которой был выполнен запрос в исходном запросе, а полное доменное имя — полное доменное имя, для которого выполнялись запросы (заканчивающиеся точкой). Resource record type is the type of resource record that you were querying for in your original query, and FQDN is the FQDN for which you were querying (terminated by a period).

Если ответ содержит список записей ресурсов «NS» и «A» для делегированных серверов, повторите шаг 1 для каждого сервера и используйте IP-адрес из записей ресурсов «A» в качестве IP-адреса сервера. If the response includes a list of «NS» and «A» resource records for delegated servers, repeat step 1 for each server and use the IP address from the «A» resource records as the server IP address.

Если ответ не содержит запись ресурса NS, делегирование будет разорвано. If the response does not contain an «NS» resource record, you have a broken delegation.

Если ответ содержит записи ресурсов «NS», но нет записей ресурсов «A», введите » задать рекурсию» и выполните запрос по отдельности для записей ресурсов «a» серверов, перечисленных в записях NS. If the response contains «NS» resource records, but no «A» resource records, enter set recursion, and query individually for «A» resource records of servers that are listed in the «NS» records. Если вы не нашли по меньшей мере один допустимый IP-адрес записи ресурса «A» для каждой записи ресурса NS в зоне, то у вас есть неработающее делегирование. If you do not find at least one valid IP address of an «A» resource record for each NS resource record in a zone, you have a broken delegation.

Если вы определили, что вы используете неработающее делегирование, исправьте его, добавив или обновив запись ресурса «A» в родительской зоне, используя допустимый IP-адрес для соответствующего DNS-сервера для делегированной зоны. If you determine that you have a broken delegation, fix it by adding or updating an «A» resource record in the parent zone by using a valid IP address for a correct DNS server for the delegated zone.

Просмотр текущих корневых ссылок To view the current root hints

Запустите консоль DNS. Start the DNS console.

Добавьте или подключитесь к DNS-серверу, который не прошел рекурсивный запрос. Add or connect to the DNS server that failed a recursive query.

Щелкните правой кнопкой мыши сервер и выберите пункт Свойства. Right-click the server, and select Properties.

Щелкните корневые ссылки. Click Root Hints.

Проверьте наличие базовых подключений к корневым серверам. Check for basic connectivity to the root servers.

Если правильно настроены корневые ссылки, убедитесь, что DNS-сервер, используемый в разрешении имен с ошибками, может проверить связь с корневыми серверами по IP-адресу. If root hints appear to be configured correctly, verify that the DNS server that’s used in a failed name resolution can ping the root servers by IP address.

Если корневые серверы не отвечают на проверку связи по IP-адресу, IP-адреса для корневых серверов могли измениться. If the root servers do not respond to pinging by IP address, the IP addresses for the root servers might have changed. Однако нередко можно увидеть перенастройку корневых серверов. However, it’s uncommon to see a reconfiguration of root servers.

Проблемы с зонными ошибками Zone Transfer Problems

Выполните следующие проверки: Run the following checks:

Проверьте Просмотр событий как для основного, так и для дополнительного DNS-сервера. Check Event Viewer for both the primary and secondary DNS server.

Проверьте сервер источника, чтобы узнать, не отправит ли он передачу данных для безопасности. Check the primary server to see whether it’s refusing to send the transfer for security.

Проверьте вкладку зонные передачи свойств зоны в консоли DNS. Check the Zone Transfers tab of the zone properties in the DNS console. Если сервер ограничит передачу зоны на список серверов, например на вкладке серверы имен в свойствах зоны, убедитесь, что сервер-получатель находится в этом списке. If the server restricts zone transfers to a list of servers, such as those listed on the Name Servers tab of the zone properties, make sure that the secondary server is on that list. Убедитесь, что сервер настроен на отправку зонных передач. Make sure that the server is configured to send zone transfers.

Проверьте наличие проблем на основном сервере, выполнив действия, описанные в разделе Проверка проблем DNS-сервера . Check the primary server for problems by following the steps in the Check DNS server problems section. Когда появится запрос на выполнение задачи на клиенте, выполните задачу на сервере-получателе. When you’re prompted to perform a task on the client, perform the task on the secondary server instead.

Проверьте, не работает ли на сервере-получателе другая реализация сервера DNS, например BIND. Check whether the secondary server is running another DNS server implementation, such as BIND. Если это так, проблема может быть вызвана одной из следующих причин: If it is, the problem might have one of the following causes:

Основной сервер Windows может быть настроен для отправки быстрых зонных передач, но сервер-получатель стороннего производителя может не поддерживать быструю передачу зоны. The Windows primary server might be configured to send fast zone transfers, but the third-party secondary server might not support fast-zone transfers. В этом случае отключите передачу данных с помощью быстрой зоны на сервере-источнике из консоли DNS, установив флажок включить вторичные базы данных-получатели на вкладке Дополнительно свойств сервера. If this is the case, disable fast-zone transfers on the primary server from within the DNS console by selecting the Enable Bind secondaries check box on the Advanced tab of the properties for your server.

Если зона прямого просмотра в Windows Server содержит тип записи (например, запись SRV), которую сервер-получатель не поддерживает, то на сервере-получателе могут возникнуть проблемы с извлечением зоны. If a forward lookup zone on the Windows server contains a record type (for example, an SRV record) that the secondary server does not support, the secondary server might have problems pulling the zone.

Проверьте, запущена ли на сервере-источнике другая реализация сервера DNS, например BIND. Check whether the primary server is running another DNS server implementation, such as BIND. Если да, то возможно, что зона на сервере источника включает несовместимые записи ресурсов, которые Windows не распознает. If so, it’s possible that the zone on the primary server includes incompatible resource records that Windows does not recognize.

Если на главном или вторичном сервере используется другая реализация DNS-сервера, проверьте оба сервера, чтобы убедиться, что они поддерживают одни и те же функции. If either the master or secondary server is running another DNS server implementation, check both servers to make sure that they support the same features. Можно проверить Windows Server на консоли DNS на вкладке Дополнительно страницы Свойства сервера. You can check the Windows server in the DNS console on the Advanced tab of the properties page for the server. В дополнение к полю включить вторичные получатели привязок на этой странице содержится раскрывающийся список Проверка имен . In addition to the Enable Bind secondaries box, this page includes the Name checking drop-down list. Это позволяет выбрать принудительное соответствие требованиям RFC для символов в DNS-именах. This enables you to select enforcement of strict RFC compliance for characters in DNS names.