域名系统 – Windows 2012无法验证没有根区域的转发器？

我们遇到了一个问题,我们无法在Windows Server 2012下添加指向BIND名称服务器的条件转发器.添加服务器的IP地址会导致验证错误：验证服务器时发生未知错误.

查看BIND服务器上的查询日志,我们发现了一些相当有趣的东西：Windows DNS服务器正在查询.在SOA中,即根名称服务器的SOA记录.没有查询example.com.在SOA中.它尝试查询root权限,并在收到REFUSED响应时不继续.

client 192.168.203.20#59067 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#50553 (.): query: . IN SOA - (192.168.208.201)
client 192.168.203.20#55468 (.): query: . IN SOA - (192.168.208.201)

疯狂.为了幽默,我们在实验室中重现了这个问题.我下载了根区域的副本并配置了一个. zone(注释掉我的根提示),并且看,这个错误不再发生.

我真的不明白.我正在提供一个权威的名称服务器,不应该提供答案. SOA,事实上,我将不得不将这个区域添加到我们所有的生产服务器,只是为了与Windows 2012很好地配合.根据我的经验,转发器应该只关心目标名称服务器是否具有权威性.有问题的区域.

为什么会这样？

如果我们试图忽略错误(无论如何单击OK),我们会得到以下错误对话框：

查询日志仍然显示上游服务器只是要求.在SOA中.从来没有尝试过查看服务器是否对example.com具有权威性.