Может по другому вопрос сформулировать: имеются ли у кого-нибудь сведения о том, что происходит при передаче зоны DNS: кто у кого спрашивает разрешения, к каким сервисам обращается, какими протоколами пользуется, необходимые и достаточные условия успешной передачи зон и т.д.
Кто что может сказать?
[/quote]
_обычно_ secondary запрашивает зону у primary
но может кто угодно запросить зону. даже я nslookup-ом или dig-ом.
на сервере _обычно_ прописывается кому можно трансферить.
запрос идет на tcp/53 часто тоже с 53-го порта. но не обязательно.
и передача с него же...
[/quote]
Подправлю немного . Помимо порта 53 на TCP, еще пользуется и такой же порт на UDP. Далее передача зоны может инициализироваться также владельцем master зоны(AXFR - как работает MS DNS не сажу, но BIND так работать может)., зону у мастера может запросить тот, кому ее разрешено запрашивать(если конечно настроить все ) все остальные получат дулю, а не полный список доменных имен.
В случае с grant2user скорее всего для сервера с master зоной, его удаленный slave выглядит не с тем IP который он прописал в настройках мастера - смотрим и правим
Извините, что долго не отвечал - разбирался с АТС, к комп-у подойти было некогда.
Начну не по порядку.
- ...трансферил как АД интегрированную или как стандартную ?
- Зону трансферил как стандартную. Для АД интегрир. переключатель в режиме создания новой зоны не активный.
"...удаленный slave выглядит не с тем IP который он прописал в настройках мастера...". В зонах (прямой и обратной) моего единственного домена slave-dns фигурирует с одним единственным, правильным ip. Тоже думал об ip- адресации: в VPN создается виртуальная сеть, свои WAN ip адреса, - но нигде кроме таблицы маршрутизации и ipconfig они не фигурируют. C этой точки зрения подозрения падают и на vpn_account, от имени которого активизируется VPN-соединение. Но куда конктретно смотреть не знаю.
"...Сервис сервер и сервис рабочая станция на этом сервере остановленны или висят..."
Службы server и workstation работают.
grant2user 1. Проверяем настройку передачи зоны:
а) в свойствах зоны передача разрешена на сервера указанные с списке серверов имен Specifies that zone transfers are only allowed to servers named in the Name Servers tab.
б) в списке Name Server добавлен сервер на который будем трансферить зону. Добавлен по своему реальному IP в сети.
(если при указании трансферить на любые сервера трансфер проходит, стоит еще раз поробывать удалить/добавить сервер в список
Проходит ли резолв имени slave сервера при добавлении в список? (смотрим это момент в статье)
Настраивал при этом Notify для обновления зон?
2. Проверяем:
- идет ли пинг на этот IP с "мастер" сервера
- доступен ли 53 порт удаленного сервера
тоже с обратной стороны. Трассировка пакетов между серверами должна идти через VPN канал.
3. И давай ка после всех этих телодвижений еще раз взглянк на netdiag и dcdiag с основного контролера на предмет ошибок.
Правильно заданный вопрос - это уже половина ответа.
Предлагаю рассмотреть процесс передачи зоны поэтапно.
1. Приход запроса на передачу зоны (к Master-Dns)
Вариант ответа: запрос формируется на Slave-dns либо вручную, либо после "устаревания" зоны.
2. Опеределение потенциальной возможности передать зону
2.1 Поиск имени сервера (slave-dns), приславшего запрос, в списке серверов которым можно сделать передачу.
Вариант ответа: для данной зоны смотрим закладку "Передача зоны" - либо разрешено всем, либо конкретным ip, либо серверам с закладки "NameServers" (сервер ищет в прямой зоне запись NS для имени Slave-dns).
2.2 Проверка на возможность передать зону данному серверу (не требуется ли особых прав на зону; если нет, то пунтк 2.1 является достаточным условием)
Вариант ответа: вариантов нет.
3. Опереление физической возможности передать зону.
3.1 Определение ip-адреса (slave-dns).
Вариант ответа: ищет в прямой зоне запись А для имени Slave-dns.
3.2 Устaновление связи и передача по TCP.
Варинат ответа: между ip должна быть связь (если они из разных подсетей, то между ними должна быть настроена марштрутизация), должен быть открыт 53 порт на вход для Master-dns и 53 на выход для Slave-DNS.
Дополните или поправьте, где я не точен.
Напомню, что если по п.2.1 разрешить передачу всем, то передача проходит нормально, а если только серверам с NameServers или явно указать ip сервера - то передача не проходит.
Отсюда следует, что проблема находится на уровне 2, то есть это не проблема маршрутизации, а проблема доступа.
Какой доступ помимо перечисления сервера в NameServers необходим для передачи зоны?
1.а - Да
1.б - Да
пробовал много раз (у меня несколько удаленных оффисов, они работают в нашем домене по VPN)
nslookup <mashine_name_slave-dns> показывает правильный ip
notify настраивал, но даже вручную ("передать") не передается
2
- не только пинг - за этим slave-dns сервером сеть и пользователи работают с приложениями центрального оффиса (комп-ы удал. оффиса "оттуда" введены в домен центрального оффиса)
- c Master-dns: telnet <ip_slave-dns> 53 - OK
- c slave-dn: telnet <ip_master-dns> 53 -ok
Трассировка идет не через VPN, а через внутр. ip обоих ISA-серверов (RRAS стоит на ISA).
Да, только сейчас подумал. На DC1 стоит win2003 - для него наверняка нужен Resourse Kit сооветствующий. Сделаю тест - покажу результаты.
PavelKHTW » 13 ноя 2004, 00:08 
nslookup-ом или dig-ом.