Compartilhar via

Solução de problemas de servidores DNS

Experimente nosso agente virtual – ele pode ajudar você a identificar e corrigir rapidamente problemas comuns do DNS.

Este artigo discute como solucionar problemas em servidores DNS.

Verificar a configuração de IP

  1. Execute ipconfig /all em um prompt de comando e verifique o endereço IP, a máscara de sub-rede e o gateway padrão.

  2. Verifique se o servidor DNS é autoritativo para o nome que está sendo pesquisado. Nesse caso, consulte Verificar se há problemas com dados autoritativos.

  3. Execute o comando a seguir:

    nslookup <name> <IP address of the DNS server>

    Por exemplo:

    nslookup app1 10.0.0.1

    Se a resposta for uma falha ou tempo limite excedido, veja Verificação de problemas de recursividade.

  4. Limpe o cache do resolvedor. Para fazer isso, execute o seguinte comando em uma janela do Prompt de Comando administrativo:

    dnscmd /clearcache

    Ou, em uma janela administrativa do PowerShell, execute o seguinte cmdlet:

    Clear-DnsServerCache

    Observação

    Se o servidor estiver funcionando como um cliente DNS (por exemplo, quando precisar resolver nomes para suas próprias operações), use Clear-DnsClientCache para limpar o cache de cliente DNS local. Se você estiver solucionando problemas relacionados à função do servidor como um servidor DNS (servindo registros DNS para outros clientes), use Clear-DnsServerCache para limpar o cache autoritativo do servidor e impedir que ele forneça informações DNS desatualizadas.

  5. Repita a etapa 3.

Verificar problemas do servidor DNS

Log de eventos

Verifique os seguintes logs para ver se há erros registrados:

  • Aplicação

  • Sistema

  • Servidor DNS

Testar usando uma consulta nslookup

Execute o comando a seguir e verifique se o servidor DNS pode ser acessado nos computadores cliente.

nslookup <client name> <server IP address>

  • Se o resolvedor retornar o endereço IP do cliente, o servidor não terá nenhum problema.

  • Se o resolvedor retornar uma resposta "Falha do servidor" ou "Consulta recusada", a zona provavelmente está pausada ou o servidor possivelmente está sobrecarregado. Para saber se ele está em pausa verifique a guia Geral das propriedades da zona no console DNS.

Se o resolvedor retornar uma resposta "Solicitação ao servidor atingiu o tempo limite" ou "Nenhuma resposta do servidor", o serviço DNS provavelmente não está em execução. Tente reiniciar o serviço servidor DNS inserindo o seguinte em um prompt de comando no servidor:

net start DNS

Se o problema ocorrer quando o serviço estiver em execução, o servidor poderá não estar escutando o endereço IP que você usou na consulta nslookup. Na guia Interfaces da página de propriedades do servidor no console DNS, os administradores podem restringir um servidor DNS para escutar apenas os endereços selecionados. Se o servidor DNS tiver sido configurado para limitar o serviço a uma lista específica de seus endereços IP configurados, é possível que o endereço IP usado para contatar o servidor DNS não esteja na lista. Você pode experimentar um endereço IP diferente na lista ou adicionar o endereço IP à lista.

Em casos raros, o servidor DNS pode ter uma configuração avançada de segurança ou firewall. Se o servidor estiver localizado em outra rede acessível somente por meio de um host intermediário (como um roteador de filtragem de pacotes ou servidor proxy), o servidor DNS poderá usar uma porta não padrão para escutar e receber solicitações do cliente. Por padrão, o nslookup envia consultas para servidores DNS na porta UDP 53. Portanto, se o servidor DNS usar qualquer outra porta, as consultas nslookup falharão. Se você acha que esse pode ser o problema, verifique se um filtro intermediário é usado intencionalmente para bloquear o tráfego em portas DNS conhecidas. Se não for, tente modificar os filtros de pacote ou as regras de porta no firewall para permitir o tráfego na porta UDP/TCP 53.

Verificando se há problemas com dados autoritativos

Verifique se o servidor que retorna a resposta incorreta é um servidor primário para a zona (o servidor primário padrão para a zona ou um servidor que usa a integração do Active Directory para carregar a zona) ou um servidor que está hospedando uma cópia secundária da zona.

Se o servidor for um servidor primário

O problema pode ser causado por erro do usuário quando os usuários inserem dados na zona. Ou pode ser causado por um problema que afeta a replicação do Active Directory ou a atualização dinâmica.

Se o servidor estiver hospedando uma cópia secundária da zona

  1. Examine a zona no servidor principal (o servidor do qual este servidor realiza as transferências de zona).

    Observação

    Você pode determinar qual servidor é o servidor primário examinando as propriedades da zona secundária no console DNS.

    Se o nome não estiver correto no servidor primário, vá para a etapa 4.

  2. Se o nome estiver correto no servidor primário, verifique se o número de série no servidor primário é menor ou igual ao número de série no servidor secundário. Se estiver, modifique o servidor primário ou o servidor secundário para que o número de série no servidor primário seja maior que o número de série no servidor secundário.

  3. No servidor secundário, force uma transferência de zona de dentro do console DNS ou executando o seguinte comando:

    dnscmd /zonerefresh <zone name>

    Por exemplo, se a zona for chamada corp.contoso.com, insira: dnscmd /zonerefresh corp.contoso.com.

  4. Examine o servidor secundário novamente para ver se a zona foi transferida corretamente. Caso contrário, você provavelmente tem um problema de transferência de zona. Para obter mais informações, consulte Problemas de transferência de zona.

  5. Se a zona foi transferida corretamente, verifique se os dados agora estão corretos. Caso contrário, os dados estão incorretos na zona primária. O problema pode ser causado por erro do usuário quando os usuários inserem dados na zona. Ou pode ser causado por um problema que afeta a replicação do Active Directory ou a atualização dinâmica.

Verificando se há problemas de recursão

Para que a recursão funcione com êxito, todos os servidores DNS usados no caminho de uma consulta recursiva devem ser capazes de responder e encaminhar dados corretos. Se não puderem, uma consulta recursiva poderá falhar por qualquer um dos seguintes motivos:

  • A consulta atinge o tempo limite antes de ser concluída.

  • Um servidor usado durante a consulta não responde.

  • Um servidor usado durante a consulta fornece dados incorretos.

Inicie a solução de problemas no servidor que foi usado na consulta original. Verifique se esse servidor encaminha consultas para outro servidor examinando a guia Encaminhadores nas propriedades do servidor no console DNS. Se a caixa de seleção Habilitar encaminhadores estiver marcada e um ou mais servidores estiverem listados, esse servidor encaminhará as consultas.

Se esse servidor encaminhar consultas para outro servidor, verifique se há problemas que afetam o servidor para o qual esse servidor encaminha consultas. Para verificar se há problemas, consulte Verificar os problemas do servidor DNS. Quando essa seção instrui você a executar uma tarefa no cliente, execute-a no servidor.

Se o servidor estiver íntegro e puder encaminhar consultas, repita esta etapa e examine o servidor para o qual esse servidor encaminha consultas.

Se esse servidor não encaminhar consultas para outro servidor, teste se esse servidor pode consultar um servidor raiz. Para fazer isso, execute o seguinte comando:

nslookup
server <IP address of server being examined>
set q=NS

  • Se o resolvedor retornar o endereço IP de um servidor raiz, você provavelmente terá uma delegação quebrada entre o servidor raiz e o nome de domínio ou o endereço IP que você está tentando resolver. Siga o procedimento Testar delegação com falha para determinar em que ponto está a falha.

  • Se o resolvedor retornar uma resposta "Solicitação ao servidor excedeu o tempo limite", verifique se as dicas de raízes apontam para servidores raiz em funcionamento. Para fazer isso, use o procedimento Para exibir as atuais dicas de raízes. Se as dicas de raízes apontarem para servidores raiz em funcionamento, pode haver um problema de rede ou o servidor pode estar usando uma configuração de firewall avançada que impede que o resolvedor consulte o servidor, conforme descrito na seção Verificar problemas do servidor DNS. Também é possível que o tempo limite por padrão de recursividade seja muito curto.

Testar delegação com falha

Inicie os testes no procedimento a seguir consultando um servidor raiz válido. O teste é um processo que consulta todos os servidores DNS desde o raiz até o servidor que você suspeita que esteja com a delegação com falha.

  1. No prompt de comando no servidor que você está testando, insira o seguinte:

    nslookup
server <server IP address>
set norecursion
set querytype= <resource record type>
<FQDN>

    Observação

    O tipo de registro de recurso é aquele que você estava consultando na consulta original, e o FQDN é aquele para o qual você estava consultando (interrompido por um período).

  2. Se a resposta incluir uma lista de registros de recursos "NS" e "A" para servidores delegados, repita a etapa 1 para cada servidor e use o endereço IP dos registros de recurso "A" como o endereço IP do servidor.

    • Se a resposta não contiver um registro de recurso "NS", você terá encontrado uma delegação com falha.

    • Se a resposta contiver registros de recurso "NS", mas nenhum registro de recurso "A", insira set recursion e faça uma consulta individualmente para os registros de recurso "A" dos servidores listados nos registros "NS". Se você não encontrar pelo menos um endereço IP válido de um registro de recurso "A" para cada registro de recurso "NS" em uma zona, terá encontrado uma delegação com falha.

  3. Se você encontrar uma delegação com falha, para corrija-la, use um endereço IP válido de um servidor DNS correto para a zona delegada e adicione ou atualize um registro de recurso "A" na zona pai.

Para exibir as atuais dicas de raízes

  1. Inicie o console DNS.

  2. Adicione ou conecte-se ao servidor DNS que falhou em uma consulta recursiva.

  3. Clique com o botão direito do mouse no servidor e selecione Propriedades.

  4. Clique em Dicas de raízes.

Verifique se há conectividade básica com os servidores raiz.

  • Se as dicas de raízes estiverem configuradas corretamente, verifique se o servidor DNS usado na resolução de nomes com falha consegue executar ping nos servidores raiz usando o endereço IP.

  • Se os servidores raiz não responderem ao ping por endereço IP, os endereços IP dos servidores raiz poderão ter sido alterados. É incomum, no entanto, ver uma reconfiguração dos servidores raiz.

Problemas de transferência de zona

Execute as seguintes verificações:

  • Verifique o Visualizador de Eventos para o servidor DNS primário e secundário.

  • Verifique o servidor primário para ver se ele está se recusando a enviar a transferência para segurança.

  • Verifique a guia Transferências de Zona das propriedades de zona no console DNS. Se o servidor restringir as transferências de zona para uma lista de servidores, como aqueles listados na guia Servidores de Nomes das propriedades da zona, verifique se o servidor secundário está nessa lista. Verifique se o servidor está configurado para enviar transferências de zona.

  • Verifique se há problemas no servidor primário seguindo as etapas na seção Verificar problemas do servidor DNS . Quando for solicitado que você execute uma tarefa no cliente, execute a tarefa no servidor secundário.

  • Verifique se o servidor secundário está executando outra implementação de servidor DNS, como BIND. Se for, o problema pode ter uma das seguintes causas:

    • O servidor primário do Windows pode estar configurado para enviar transferências de zona rápidas, mas o servidor secundário de terceiros pode não dar suporte a transferências de zona rápida. Se esse for o caso, desabilite transferências de zona rápida no servidor primário no console DNS selecionando a caixa de seleção Habilitar secundários Bind na guia Avançado das propriedades do servidor.

    • Se uma zona de pesquisa avançada no servidor Windows contiver um tipo de registro (por exemplo, um registro SRV) que o servidor secundário não dá suporte, o servidor secundário poderá ter problemas ao puxar a zona.

Verifique se o servidor primário está executando outra implementação de servidor DNS, como BIND. Nesse caso, é possível que a zona no servidor primário inclua registros de recursos incompatíveis que o Windows não reconhece.

Se o servidor mestre ou secundário estiver executando outra implementação de servidor DNS, verifique os dois servidores para garantir que eles ofereçam suporte aos mesmos recursos. Você pode verificar o servidor Windows no console DNS na guia Avançado da página de propriedades do servidor. Além da caixa Habilitar Associar secundários, essa página inclui a lista suspensa Verificação de nome. Isso permite que você selecione a imposição de conformidade estrita de RFC para caracteres em nomes DNS.