none
Spravnost nastaveni DNS

    Dotaz

  • Zdravim vsechny, rad bych si nechal poradit, zda-li mam spravne nastaveno dns a pokud ne, tak bych prosil o navrh, jak jej vylepsit. Situaci vystihuje tento obrazek:


    Brana do internetu je pocitac s ip x.x.1.254 (dale budu uvadet jen posledni dve cisla, at neni hodne textu). Je to router, ktery obsahuje DHCP server+ DNS server. Do stejneho segmentu jsou zapojeny vsechny pocitace+ servery (nemigrovali jsme na vyssi, stare servery prijdou casem vyradit a zustanou pouze nove). Co se tyka serveru, tak se jedne o dve generace a dve domeny. Dva servery jsou s windows 2003 (jeden databazovy) a na druhem bezi Active Directory s domenou Domena1 a samozrejme aby to bezelo, je tam nainstalovana DNS. IP serveru je 1.1. Primarni DNS na serveru je 1.254 a sekundarni nejake 10.10.10.10. Takze puvodne vsechny pocitace, ktere se hlasili do domeny Domena1, meli nastaveno ip adresu, branou 1.254 a DNS1: 1.1 a DNS2: 1.254. Takto nastaveny byly i pocitace, ktere nebyly v domene. Na serveru nebezelo WINS a je otazka, jestli je vhodne ho pridat (krom pocitacu nizsich jak windows 2000 ho vyuziji nejaka zarizeni jako print servery, tiskarny, atd?). Dale pribyly dva nove servery (opet domenovy a databazovy). Je na nich nainstalovan Windows 2008 R2. Databazovy je zarazen do nove domeny, ktera bezi na druhem serveru (opet AD+ DNS aby to chodilo). Pocitace, ktere se maji pripojovat do nove domeny, maji jako primarni DNS nastaven novy server 1.2. Tento server ma nastaveno DNS1 na 1.254 a druhe opet 10.10.10.10. Vice je zobrazeno na planku...snad to vystihuje tezx uvedeny vyse.

    A ted nekolik otazek:

    1. Je vhodne v konfiguraci DNS serveru nastavovat nejake vztahy duvery nebo nejakeke poradi, kam maji dotazy jit? Momentalne je na temer vsech stanicich nastaven primarne dns1: 1.1 a je vubec tato konfigurace vhodna? Co kdyz bude pocitac v jedne domene a dns pozadovat domenu a dns od druheho serveru, najde ho, nemuze to ted zpusobovat nejake problemy nebo cykleni?

    2. Je vhodne rozjet na 1.1 i sluzbu WINS (pro pocitace s nizsim os jak win2000 a tiskarny, print servery, atd a po vyrazeni 1.1 ji dat na 1.2?

    3. Je nutne v DNS upravovat nejake casy odezvy komunikace mezi jednotlivymi servery, kdyz se deje vse v lokalni siti tak aby nebyly default prodlevy prilis dlouhe?

    4. Jeste pridavam pozdeji dotaz, zda-li je vhodne vypinat v nastaveni site protokol ip6, kdyz se nepouziva?

    Dekuji za pripadne pripominky a odpoved na otazky. Pekny vecer.







    čtvrtek 31. března 2011 17:26

Odpovědi

  • 1. Pokud je na DC take DNS, pak stanice maji v nastaveni site pouze IP tohoto DNS. Pokud je v domene vice DC pro tuto domenu , na kterych je DNS, pak stanice maji mit vsechny tyto IP (DNS)  v seznamu v konfiguraci site.

    2. Pridavat do seznamu DNS serveru na stanicich jine DNS (verejne) vede na SPATNOU KONFIGURACI a nenalezeni prislusnych RR zaznamu.

    3. Pristup na externi DNS zarizuje DNS na DC (podivejte se forwardovani)

    4. Pokud mate vice DC pro jednu domenu, "ukazuje" prvni udaj o IP DNS na serveru na sebe (loopback nebo realna adresa) a druhy udaj IP DNS na druhy server. Pokud to tak nebude, pak se pri startu vygeneruje chyba a periodicky se objevuje cervena hlaska o chybe. Neni to ale chybovy stav, nebot oba servery uz mohou pracovat normalne, ale neznala osoba se muze divit logu zaplnenemu cervenymi hlaskami.  

    5. Spravna  defaultni instalace, pokud byla provedena spravne je ve vetsine pripadu bez nutnosti ladit parametry.

    6. Vztah duvery je zalezitosti AD, ne samotne DNS.

    7. IP verze 6 vypnout muzete.

    Mozna bych doporucil projit nejake zakladni clanky a knihy o AD, DNS a IP, protoze odpoved je jen velmi strucna a ostatni literatura uvede souvislosti.

     


    pátek 1. dubna 2011 7:53
    Vlastník
  • Ja nevim, jak se chova Vase GW, ale ja bych doporucoval uvest v seznamu forwarderu verejne DNS, treba u ISP (poskytovatele internetoveho pripojeni). Na FW musite mit povolene dotazy pres port 53/UDP (nekdy je nutne mit 53/TCP pro "dlouhe dotazy")

    S temi domenami neni jasne uplne ucel existence dvou domen. Pokud opravdu chcete mit dve domeny vzajemne provazane, tak si musite uvedomit, jaky bude mezi nimi vztah, kdo komu bude duverovat. Stanice budou konfigurovane podle stejnych principu, budou mit zaznamy DNS jen od sve domeny. To je uloha DNS serveru na DC, aby poskytl klientum spravnou informaci.

    Servery ktere jsou cleny domeny konfigurujete analogicky jako stanice.

    Pokud byste prechazel z W2K3 R2 na W2K8 R2 s pridanim noveho serveru, musite nejdrive upravit schema (adprep). Proces je dobre popsan na strankach MS.

    Neni zrejmy smysl IP 10.10.10.10. To bude nejaky omyl....

    pátek 1. dubna 2011 19:59
    Vlastník

Všechny reakce

  • Ja nekde v nejake knizce o windows 2003 serveru cetl, ze pokud na serveru bezi dns a ma se zabranit chybam v dns, tak by mel primarni dns v nastaveni site toho serveru ukazovat sam na sebe. Tak to tak mam nastaveno. Teda u jedne domeny...Ted mame docasne novou dalsi domenu, tak by me to taky zajimalo, jak ta konfiugurace ma spravne vypadat.
    čtvrtek 31. března 2011 22:09
  • 1. Pokud je na DC take DNS, pak stanice maji v nastaveni site pouze IP tohoto DNS. Pokud je v domene vice DC pro tuto domenu , na kterych je DNS, pak stanice maji mit vsechny tyto IP (DNS)  v seznamu v konfiguraci site.

    2. Pridavat do seznamu DNS serveru na stanicich jine DNS (verejne) vede na SPATNOU KONFIGURACI a nenalezeni prislusnych RR zaznamu.

    3. Pristup na externi DNS zarizuje DNS na DC (podivejte se forwardovani)

    4. Pokud mate vice DC pro jednu domenu, "ukazuje" prvni udaj o IP DNS na serveru na sebe (loopback nebo realna adresa) a druhy udaj IP DNS na druhy server. Pokud to tak nebude, pak se pri startu vygeneruje chyba a periodicky se objevuje cervena hlaska o chybe. Neni to ale chybovy stav, nebot oba servery uz mohou pracovat normalne, ale neznala osoba se muze divit logu zaplnenemu cervenymi hlaskami.  

    5. Spravna  defaultni instalace, pokud byla provedena spravne je ve vetsine pripadu bez nutnosti ladit parametry.

    6. Vztah duvery je zalezitosti AD, ne samotne DNS.

    7. IP verze 6 vypnout muzete.

    Mozna bych doporucil projit nejake zakladni clanky a knihy o AD, DNS a IP, protoze odpoved je jen velmi strucna a ostatni literatura uvede souvislosti.

     


    pátek 1. dubna 2011 7:53
    Vlastník
  • Takze pokud tomu dobre rozumim, tak server 1.1 (dc+dns, domena 1) bude mit nastaveno branu 1.254 a primarni dns 1.1, tedy sam sebe. Ve vlastnostech dns pak bude mit nastaveno forwardovani pro vsechny domeny, ktere nezna na 1.254. Stanice pak budou mit ip 1.x, branu 1.254 a primarni dns 1.1. Tot vse.

    Co se tyka druhe domeny, tak opet server 1.2 (dc+dns, domena 2) bude mit nastavenou branu 1.254 a primarni dns 1.2, tedy sebe. Opet forward v nastaveni dns na 1.254 a stanice mit ip 1.x, branu 1.254 a primarni dns 1.2? Nebo je vhodne dat primarni i sekndurani domenu na stanice, tedy 1.1 a 1.2 a je nutno nejak mezi sebou mezi domenami preposilat dns dotazy?

    Na serverech je defaultni konfigurace....kazdy ma svoji domenu a jejich primarni, jediny controler.

    U te jedne domeny je mi to uplne jasne...ale jak to bude s dvemi?

    Dekuji za odpoved.

     


    pátek 1. dubna 2011 18:45
  • Ja nevim, jak se chova Vase GW, ale ja bych doporucoval uvest v seznamu forwarderu verejne DNS, treba u ISP (poskytovatele internetoveho pripojeni). Na FW musite mit povolene dotazy pres port 53/UDP (nekdy je nutne mit 53/TCP pro "dlouhe dotazy")

    S temi domenami neni jasne uplne ucel existence dvou domen. Pokud opravdu chcete mit dve domeny vzajemne provazane, tak si musite uvedomit, jaky bude mezi nimi vztah, kdo komu bude duverovat. Stanice budou konfigurovane podle stejnych principu, budou mit zaznamy DNS jen od sve domeny. To je uloha DNS serveru na DC, aby poskytl klientum spravnou informaci.

    Servery ktere jsou cleny domeny konfigurujete analogicky jako stanice.

    Pokud byste prechazel z W2K3 R2 na W2K8 R2 s pridanim noveho serveru, musite nejdrive upravit schema (adprep). Proces je dobre popsan na strankach MS.

    Neni zrejmy smysl IP 10.10.10.10. To bude nejaky omyl....

    pátek 1. dubna 2011 19:59
    Vlastník