none
DNS nepředává požadavky (Windows Server 2003)

    Dotaz

  • Dobrý den,

    nevíte někdo, co může být špatně, když DNS neforwarduje požadavky?

    Potřeboval jsem omezit přístup jen na některé weby a tehdy mně přišlo nejjednodušší vymazat adresu serveru pro předávání. Funguje to, ale na údržbu záznamů to není moc pohodlné, jelikož postupně je jich nějak hodně... Chtěl jsem zkusit proxy server a myslel jsem si, že plnou funkčnost DNS obnovím tím, že vrátím zpět adresu serveru pro předávání, jenže to jaksi nefunguje. Hledal jsem napřed chybu v proxy, ale nejede to ani na serveru, kde ten DNS běží. Nemám ani tucha, kde hledat chybu:-(

    15. července 2010 22:04

Odpovědi

  • Opet: "divne funguje".... NE funguje to spravne, jen vy ste si o DNS systemu udelal nespravny obraz.

    Vy v podstate rikate, ze by DNS system mel na libovolny dotaz otravovat nekoho jineho = ev vasem podani by jediny preklep ve jmene domeny vedl k zahlceni DNS serveru po celem interentu, jak by se snazili vam neco najit.

    Proto je system DNS striktne hierarchicky (= stromova topologie) a DNS server je vzy autoritativni pro nejakou domenu.

    Paklize jste svemu DNS vysvetlil, ze je autoritativni pro CZ (mate zonu CZ), NEMUZE se ptat jinde na neco, co nema ve SVYCH zaznamech pro zonu CZ. jinak by nastal vyse uvedeny jev a zahjlceni site nesmysly.

    Vase chyba byla, ze jste zavedl zony ROOTve, misto abyste zavedl zony vyssich radu. Tj. pokud chci uzivatelum prekladat zaznam www.firma.cz, nezavedu zonu CZ, ale zonu firma.cz a v ni A zaznam pro WWW. Pak se muj DNS server bude na dotaz www.firma2.cz ptat jinde. Bud forwardera, nebo primo majitele CZ zony = root serveru.

    Takze jeste jednou: DNS funguje pomerne normalne, pokud vite jak funguje. Stejne jako v aute vam mohou pripadat vsechny ty packy a pedaly podivne, kdyz prece chcete jen jet dopredu = nejprve se musite neco naucit, nez to budete pouzivat.

    • Označen jako odpověď -mirnov- 19. července 2010 11:52
    19. července 2010 11:10

Všechny reakce

  • 1. Obecne: nepouzivej vubec DNS forwarders pokud nemusis, radeji pouzivej relaying pres root hints /DNS servers/.
    2. Omezovani pristupu na internetove stranky pomoci DNS? To neni "normalni" postup"; proxy byla rozhodne spravna cesta.
    3. muzes vystavit napr. printscreeny konfigurace DNS (zejmena tabs Interfaces, Forwarders, Advanced, Root Hints)? Mas v DNS zapnute logovani? Co tlacitko Monitoring?
    4. Jak presne odpovi nslookup na nejake testovaci dotazy?

    MP

    16. července 2010 5:24
    Moderátor
  • Ad 1) Co to? To se dělá kde?

    Ad 2) No, to už jsem zjistil. Ono to tenkrát vypadalo na pár adres a proxy na serveru není...

    Ad 3) To bych mohl, ale zjistil jsem jednu věc. S tím předáváním to bude jinak. Funguje to, ale jen pro domény, které nemám v zóně dopředného vyhledávání, tzn. vše krom cz a com. Nerozumím tomu. Vždycky jsem si myslel, že na co nemá DNS odpověď, pošle dál. Tady evidentně ne:-(

    Logování - něco zapisuje, ale či se v tom vyznám?

    Ad 4) nslookup? Něco pro UB by nebylo? Tento nástroj mě zatím převyšuje:-(

    16. července 2010 11:34
  • ad4) nslookup ti poví, co za ip se skrývá pod DN a který DNS ti to pověděl. Třeba nslookup www.seznam.cz u nás dává toto


    C:\WINDOWS\system32>nslookup www.seznam.cz
    Server:  prahafl.xyz.local
    Address:  192.168.30.10

    Non-authoritative answer:
    Name:    www.seznam.cz
    Address:  77.75.72.3

     

    16. července 2010 12:32
  • Pri vsi ucte nebylo by vhodne nastudovat ZAKLADY sitariny?

    Bez popisu problemu ti asi nikdo neporadi. Ty "blokujes" stranky tim ze fake-ujes nesmyslnou autoritativni odpoved pro zadane domeny?

    nejlepsi proxy servery jsou zdarma.

    MP

    16. července 2010 13:28
    Moderátor

  • Pri vsi ucte nebylo by vhodne nastudovat ZAKLADY sitariny?

    Samozřejmě, že bylo. Otázka kdy a co jsou všechno základy...

    Bez popisu problemu ti asi nikdo neporadi.

    Problém jsem popsal.

    "fake-ujes nesmyslnou autoritativni odpoved"

    Pod tím si nic nepředstavuji, to je jako byste psal čínsky. To, co jsem udělal je, že jsem nezadal adresu serveru pro předávání a názvy, které jsem chtěl přeložit, jsem definoval v zóně dopředného vyhledávání. Neříkám, že je to správné řešení, ale zase tak úplná kravina to asi není, protože to funguje a pokud vím, DNS je od toho, aby názvy překládal, což dělá.

    nejlepsi proxy servery jsou zdarma

    Jasně, a ten nejlepší/nejvhodnější to má napsané v názvu. Něco jako "setup-bestfreeproxy.exe", že?

     

    Každý jsme odborník ve svém oboru. Až budu mít pět metálů, taky mně bude "vše" jasné a nebudu se muset (blbě) ptát. Pokud je to pod Vaši úroveň, čemuž bych rozuměl, uvítám odkaz na nějakou poradnu pro "IT blbce".

    16. července 2010 19:02
  • Zlatym standardem je squid proxy server. K dispozici pro vetsinu OS. Nekdo pouziva jiny? Statisticky zanedbatelne!

    Aha, takze ty jsi to delal naopak,tzn. DNS se tvaril jako autoritativvni pro "povolene" domeny/zaznamy ale mel zakazany relaying? Zajimave reseni, v podstate tak nejak zacinal ARPAnet - distribuce HOSTS souboru, kdo nebyl v hosts neexistoval. V malem rozsahu funkcni; dlouhodobe neudrzitelne; navic neslucitelne se spoustou jine potrebne funkcionality.

    Kdyz jsme u te literatury: je to hereticka rada ale doporucuji stahnout LDP. Jedak je free, jednak zaklady jsou stejne nezavisle na OS a v neposledni rade budes po jeho precteni MILOVAT windows :)

    Jiank fake: falsovany, padelany. Autoritativni: primarni nebo backup DNS.

    MP

    16. července 2010 19:37
    Moderátor
  • Díky za tipy.

    Nerozumím sice, proč se neptá dál na to, co sám neví (přestože je to takto popsáno v i nápovědě), ale předpokládám, že když větve cz a com smažu (pokud to nejde jinak), tak bude po problému. Než nastane jiný...

    Windows miluji už teď. Hlavně všechna ta "blackbox" řešení a pak tuny zalogovaných událostí s informační hodnotou 0,00nic.

    16. července 2010 21:11
  • Brecite, ale na spatnem hrobe. Na vine vaseho problemu nejsou Windows, ale nepochopeni systemu DNS.

    Je-li DNS server autoritativni pro nejakou domenu, NEPTA se jineho DNS serveru na tuto domenu. Tj. pokud jste ve vasem serveru nastavil, ze je autoritativni pro ROOT domeny COM a CZ, pak se rozhodne nebude ptat jinde na domeny, ktere jsou vyssich radu techto domen = tj. neco.CZ a neco.COM.

    DNS server se pta jinych (pripadne ROOT) serveru na domeny, ktere lidove "nejsou jeho".

    Tj. Zmente logiku omezovani pristupu na internet a pouzivejte DNS server tak, jak je v kraji obvykle. Pokud opravdu chcete nejak resit pristup na internet, pouzijte nejake FW reseni = ISA, Kerio atp. , ve kterem muzete definovat pravidla podle uzivatelu = nekdo smi vsude, nekdo nikam, nekdo jen nekam.

    19. července 2010 9:40
  • Jo, jo, souhlasím. To už jsem pochopil, že to takto (divně...) funguje. Asi mně něco uniklo:-( Žádný server přece nemůže znát celou doménu, ale to je jedno. Nevím o tom, že bych nenastavoval, aby byl nějaký autoritativní.

    O změnu logiky se pravě snažím. Smažu cz a com z DNS (BTW proč to nejde jenom přejmenovat nebo exportovat do souboru jsem taky nepochopil) a chci "něco", co je zdarma, nainstaluje jedním setup-em a bude to mít jedno dialogové okno, kde pro určité URL (s podporou * a ?) nastavím, jaká skupina/uživatel může/nemůže. Jedná se o lokální doménu (~ 40 PC).

    Výše zmíněný squid je asi dobrý, ale pro mě je zřejmě "s kanónem na zajíce". Navíc abych ani půl hodině pořádně nezjistil, co vlastně stáhnout, jak to nainstalovat, kde se to spouští a ovládá... - nic pro mě, v tom ať se vrtají nadšenci.

    Víte o něčem takovém?

    19. července 2010 10:39
  • Opet: "divne funguje".... NE funguje to spravne, jen vy ste si o DNS systemu udelal nespravny obraz.

    Vy v podstate rikate, ze by DNS system mel na libovolny dotaz otravovat nekoho jineho = ev vasem podani by jediny preklep ve jmene domeny vedl k zahlceni DNS serveru po celem interentu, jak by se snazili vam neco najit.

    Proto je system DNS striktne hierarchicky (= stromova topologie) a DNS server je vzy autoritativni pro nejakou domenu.

    Paklize jste svemu DNS vysvetlil, ze je autoritativni pro CZ (mate zonu CZ), NEMUZE se ptat jinde na neco, co nema ve SVYCH zaznamech pro zonu CZ. jinak by nastal vyse uvedeny jev a zahjlceni site nesmysly.

    Vase chyba byla, ze jste zavedl zony ROOTve, misto abyste zavedl zony vyssich radu. Tj. pokud chci uzivatelum prekladat zaznam www.firma.cz, nezavedu zonu CZ, ale zonu firma.cz a v ni A zaznam pro WWW. Pak se muj DNS server bude na dotaz www.firma2.cz ptat jinde. Bud forwardera, nebo primo majitele CZ zony = root serveru.

    Takze jeste jednou: DNS funguje pomerne normalne, pokud vite jak funguje. Stejne jako v aute vam mohou pripadat vsechny ty packy a pedaly podivne, kdyz prece chcete jen jet dopredu = nejprve se musite neco naucit, nez to budete pouzivat.

    • Označen jako odpověď -mirnov- 19. července 2010 11:52
    19. července 2010 11:10
  • Děkuji za osvětu, já tomu nakonec budu rozumět:-) Když to tak hezky popíšete, je to samozřejmě logické. 

    Proč nejde firma.cz v zóně CZ "povýšit" na primární zónu je asi otázka na vývojáře Microsoftu, že?

    Jestli máte tip na proxy splňující 3 výše uvedené podmínky, budu spokojený a dám (zas na chvíli) pokoj. Rád bych osvědčené řešení, slepých uliček mám dost.

    K té analogii s autem: Je tu jeden rozdíl. Auto jsem chtěl používat, "admina" jsem dělat nechtěl.

    19. července 2010 11:52
  • Opet spina na Microsoft :( Proc? Asi naposledy, protoze uz nemam silu: NAUCTE SE DNS, a pak teprve plivejte siru...

    Zaznam v DNS se "nepovysuje". Proste bud zaznam v zone je, nebo neni. Zavedte si zony (domeny vyssich radu) a pridejte A zaznamy. Bohuzel pro vas to proste znamena nejakou praci, opravdu to nejde pretahnutim mysi. Tady prave mate nadavat na MS, ktery uzivatele "zmekcil" natolik, ze maji "pindy", kdyz to nejde "naklikat". Nejde. Vemte to tak, ze puvodne se DNS vyvinul na UNIXovych strojich, kde to byly textove zaznamy. Takze nenadavejte na vyvojare MS, ale sednete si a pracujte.

    Klasicke ceke prani: chci to zadarmo, a at je to presne jak chci ja a jeste to musi umet cesky, protoze anglicky neumim. Neni nic takoveho. Bud za penize, nebo free se slozitejsi konfiguraci, casto vychazajici z Linuxoveho prostredi.  Z placenych Proxy reseni je pomerne jednoduchy a levny produkt WinGate. Z ceskych reseni je nejoblibenejsi uz jednou zmineny KerioFW, jehoz sprava neni ale uplne trivialni.

    Nechtel jste byt adminen...  Hmmm... Ja jsem taky nechtel jit na vojnu a presto jsem se musel naucit zachazet se samopalem... Asi tak.

    19. července 2010 12:29
  • Chjo, ja kdyz si pamatuju jak jsem jeste ne Emwacu drzel hubu a soupal nohama nekolik let nez jsem se odvazil bleptnout, jinak jsem pres ni dostal od DD hadrem.

    Ver tomu ze az prijdes o prvni odeslany mail protoze zmrvis DNS zaznam pro HODNE dulezitou cilovou domenu pochopis ze tudy cesta nevede. Proc nepouzijes proxy server?

    MP

    19. července 2010 14:18
    Moderátor
  • Vážený pane, pokud cílem Vaší odpovědi bylo mě nasrat, podařilo se Vám to. Jaká špína, jaká síra, jaké nadávání? (Teď to napravím...) Nikde nic takového nebylo, přečtěte si laskavě POŘÁDNĚ příspěvky a nedomýšlejte si, co není napsáno. Vy i MP jste hrozně chytří, přitom víte s prominutí hovno o tom, v jaké jsem situaci. Rozumovat umí každý.

    Každopádně děkuji za tipy, které zazněly mezi nepožadovaným "balastem" a omlouvám se, že jsem se dovolil zeptat na to, co mě pálí. Až se příště narodím, den už bude mít určitě přes 50 hodin, takže kromě své práce budu mít spoustu času na studium a ve volném čase ještě budu radit ostatním, takže Vás už nebudu obtěžovat...

    26. července 2010 21:39