none
DNS-сервер - пересылка

    Question

  • Добрый день!

    Есть DNS-сервер на Windows Server 2003 R2 SP2, принадлежит компании company1. Обслуживает он запросы для компьютеров компании company1, а запросы по поводу зоны company2.ru пересылает на DNS-сервера компании company2.

    Соответственно, настроена пересылка зоны company2.ru на DNS-сервера компании company2.
    Но есть необходимость запросы по поводу одного хоста portal.company2.ru не пересылать в company2, а разрешать в IP-адрес самостоятельно.
    Каков наиболее корректный способ реализовать это?
    Возможности изменить содержимое зоны в company2 - нет.

    MCP
    Monday, April 27, 2009 9:11 AM

Answers

  • а что если создать на сервере компании company1 зону portal.company2.ru и создать в ней A для корня..
    редирект для company2.ru будет идти на сервер dns company2.ru
    а сам сервер будет резолвить записи для portal.company2.ru..

    кактотак :)

    mcp, mcdba, mcsa, mcse, ccna
    Monday, April 27, 2009 2:46 PM

All replies

  • По поводу "настроена пересылка зоны" - не понятно. Наверное, "Conditional Forwarding" ("условная пересылка"), так?
    Корректного способа не будет. Обращайтесь к этому хосту по альтернативному имени из своей зоны.

    Скажите, а чем вызвано такое своеобразное желание? Возможно, проблема решается иным способом.
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Monday, April 27, 2009 9:43 AM
    Answerer
  • Либо самостоятельно и вручную вести зону company2.ru на своем DNS сервере, либо любым способом (например, скриптом через групповые политики) распространить на клиентах в файлах hosts записи для portal.company2.ru.
    Monday, April 27, 2009 9:48 AM
    Moderator
  • Обращайтесь к этому хосту по альтернативному имени из своей зоны.

    Пожалуй, наиболее подходящее решение.
    Monday, April 27, 2009 9:53 AM
    Moderator
  • Скажите, а чем вызвано такое своеобразное желание? Возможно, проблема решается иным способом.
    Могу рассказать подробнее.

    Есть домен company1.ru, есть AD-интегрированная зона.

    Есть лес доменов company2.ru, тоже DNS - на основе AD-интегрированных зон.

    На DNS-серверах компании 1 есть пересылка запросов к company2.ru на DNS-сервера компании 2.
    И обратно, соответственно.
    Между лесами AD есть доверительные отношения, работают корректно. DNS-имена разрешаются корректно в обеих компаниях.

    По политическим соображениям,
    К некоему сервису все пользователи обеих должны обращаться по адресу portal.company2.ru. Но при этом физически сервера должны располагаться в офисе company1.ru.

    Сервер, на котором работает искомый сервис, находится во внутренней сети company1. На него проброшен порт снаружи (из интернета), с помощью чего сервисом пользуются мобильные пользователи с интернета и пользователи других регионов и всей структуры company2.


    Как это работает сейчас:
    В DNS-зоне company2.ru есть запись portal.company2.ru, которая указывает на внешний IP-адрес, с которого проброшен сервис в company1.
    Таким образом, все клиенты из company2.ru разрешают portal.company2.ru в некий внешний IP-адрес и получают таким образом доступ.
    На всех компьютерах company1.ru есть файл hosts с записью:
    portal.company2.ru 192.168.0.22
    Все это на сегодняшний день работоспособно.
    Но когда мобильные клиенты из сети company2.ru с ноутбуком пытаются получить доступ снаружи (из интернета) - у них это сделать не получается, т.к. в файле hosts прописан внутренний IP-адрес.

    Понятно, что используемое решение - кривое и не правильное.

    Но как организовать это корректнее - пока не представляю.
    MCP
    Monday, April 27, 2009 11:02 AM
  • Такое легко сделать, если ваша компаия будет иметь два DNS сервера - внутренний и внешний (последний может даже поддерживаться провайдером). Тогда вы сможете задавать для одного имени (в зоне вашей организации) либо внутренний, либо внешний IP-адреса сервера, в зависимости от того, откуда подключается клиент. Кстати, поддержка отдельных внутреннего и внешнего DNS-сервера - стандартное решение для организации, подключенной к Интернет, и наиболее оптимальное с точки зрения безопасности DNS.

    Правда, "политические" соображения здесь не соблюдаются... :)
    Monday, April 27, 2009 11:22 AM
    Moderator
  • Внешний DNS-сервер есть. Размещается на внешнем специально для этого предназначенном DNS-сервере, к AD отношения не имеющем.
    Именно с его помощью и разрешают имена пользователи снаружи (из интернета).

    Но как это помогает в данной ситуации?

    Поскольку необходимо, чтобы корректно работали доверительные отношения, клиенты из company1.ru должны переадресовывать свои запросы на company2.ru. Но в зоне company2.ru указан внешний адрес требуемого сервиса... замкнутый круг какой-то
    MCP
    Monday, April 27, 2009 11:27 AM
  • Все замечательно получается. Внешний DNS сервер уже есть, причем для зоны company2.ru, и там IP-адрес указан внешний, все правильно. На своем внутреннем DNS-сервере вы должны вручную поддерживать зону company2.ru и добавлять A-Запись для portal.company2.ru с внутренним адресом. Разумеется, вы можете периодически загружать ее с авторитативного DNS-сервера, но при этом править A-запись для portal.company2.ru. Считаю, это не так уж невозможно, реально вам потребуются далеко не все компьютеры в company2.ru, и записи для них можно поддерживать вручную. При желании можно автоматизировать эту поддержку с помощью скриптов.

    Monday, April 27, 2009 11:34 AM
    Moderator
  • Если Ваш "portal" имеет одинаковые имена для обращения "изнутри" и "снаружи" (зона AD предприятия публичная?) и невозможно реализовать на нем трансляцию URL (для реализации разных FQDN), то проблему может решить только "расщеплненный DNS". Т.е., внутренние клиенты будут обращаться к DNS серверу внутри предприятия и разрешать имена во внутренние (частные) адреса сети предприятия, ну, а внешние - в публичные, полученные ответом с публичного DNS-сервера. В такой ситуации необходимо, чтобы клиенты из доверенного домена могли доступаться до частных адресов сети предприятия доверяющего домена, а, значит, придется объединять их сети. В такой ситуации авторитарным сервером должен быть, естественно, сервер публичный, а DNS-сервер, обслуживающий AD, надо "спрятать". :)


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Monday, April 27, 2009 11:49 AM
    Answerer
  • osr,

    Да такой вариант был бы очень красивым:

    Во внутренних DNS указываем локальный адрес.
    На внешнем DNS - внешний адрес.

    НО:
    К сожалению, IPSEC несколько неустойчив в моем случае (почему - отдельная песня).
    В результате - такой вариант не устраивает.

    Клиенты из company2.ru должны обращаться к portal.company2.ru не по внутреннему адресу (192.168.0.22), а по внешнему (чтобы трафик ходил не через IPSEC). Кроме того, далеко не из всех офисов company2.ru можно достучаться к portal.company1.ru по внутреннему адресу (company2.ru - достаточно разветвленная географически федеральная структура).
    MCP
    Monday, April 27, 2009 1:20 PM
  • а что если создать на сервере компании company1 зону portal.company2.ru и создать в ней A для корня..
    редирект для company2.ru будет идти на сервер dns company2.ru
    а сам сервер будет резолвить записи для portal.company2.ru..

    кактотак :)

    mcp, mcdba, mcsa, mcse, ccna
    Monday, April 27, 2009 2:46 PM
  • Похоже, это решает задачу, и такая конфигурация работает! Вот нашел обсуждение по совершенно аналогичному вопросу:

    http://www.eggheadcafe.com/conversation.aspx?messageid=31260024&threadid=31260024

    Monday, April 27, 2009 3:28 PM
    Moderator
  • Спасибо, Геннадий!
    Это помогло.
    Как выясняется, ларчик просто открывался...


    MCP
    Tuesday, April 28, 2009 11:39 AM