none
Po spuštění NATu na W2016 po 30minutách přestane odpovídat DNS klientům

    Dotaz

  • Zdravím,

    V jiném vlákně jsem se ptal, proč mi nejede DNS na klientech, když na serveru je vše OK (stran DNS nebo aspoň vypadá). Teď jsem zjistil, že když nakonfiguruju NAT, tak mi nějakou dobu DNS klientům odpovídá a pak na vnější síťovce přestane. NAT funguje dál.

    Ta doba je cca 30 minut. Když službu zastavím, okamžitě začne DNS klientům odpovídat. Když nezastavím, dá mi nslookup odpověď: No response from server.

    W2016 server, klienti W7, ale i jeden W2008, chování stejné. Je možné, aby půl hodiny DNS odpovídal a pak si prostě přestane?


    Díky

    adresa prvního prispevku: https://social.technet.microsoft.com/Forums/cs-CZ/34b673e5-97c8-4e26-aeea-9f92d932ccd9/dns-na-serveru-ve-ok-klienty-v-domn-neobslou-vyeeno?forum=windowsservercs

    4. února 2018 1:57

Všechny reakce

  • Jak spoustis NAT? Plnotucne (RRAS + DNS + DHCP), nebo zjednodusene a omezene přes ICS?

    MP

    4. února 2018 13:45
    Vlastník
  • Na serveru (samotný řadič AD) mám nakonfigurovány DNS, DHCP a RRAS (česky směrování a vz. přístup, je to doufám to samé), takže asi ta plnotučná varianta, přiznám bez mučení, že co je ICS nevím.

    Ještě jsem odpoledne zjistil, že DNS přestává odpovídat už po 5 minutách. V okamžiku, kdy RRAS zastavím, začne DNS klientům zase odpovídat (to platí pro "veřejné rozhraní").

    4. února 2018 16:37
  • ICS = Internet Connection Sharing

    DNS bezi (bindings) jen na LAN a je nastaven zcela minimalne, tedy relaying z root serveru + caching? Resp. PROC BY MEL DNS ZA NATEM VUBEC ODPOVIDAT NA VEREJNE ADRESE?!

    MP



    P.S. a tohle mas na DC a to na JEDINEM DC? Znam méně bolestne zpusoby sebevrazdy!
    4. února 2018 16:55
    Vlastník
  • Zkusím to upřesnit, napsal jsem veřejné rozhraní, ale jen z pohledu toho NATu, jinak je to celé ještě za routerem poskytovatele a i ta "veřejná" síť je ještě LAN. Vím, že to vypadá blbě a já jako blbec, beru to. Akorát jsem to takto provozoval asi 13 let (na W2003s) a fungovalo to a stejnou konfiguraci provozuju ještě jednou (W2016, AD, ...) a taky to funguje.

    Že je to z logického hlediska síťařů pitomost, tomu bych i rozuměl, nicméně, protože mi to tak chodilo celou tu dlouhou dobu ve dvou sítích, měl jsem za to, že je to technicky možné (a ve druhé síti to právě jde).

    Je to všechno na jednom DC, to je pravda, to mám taky dáno jaksi historicky, nicméně na druhým DC uvažuji. Jenom se zeptám - ta nedostatečnost jednoho je dána rizikem výpadku nebo nestíháním? Co by zas takový server dělal - mám za to, že fyzicky obsloužit doménu snad jeden PC zvládne. Ne?

    Díky.

    4. února 2018 17:17
  • NO:

    - v AD je dobře mit 3 a vice DC
    - na DC nepatri nic, co tam nepatri (ok, to asi není uplne nejlepší definice :)
    - vystrkovat DNS mimo AD sit (AD LEZI A PADA S FINKCNIM DNS) není také moc vhodne.

    MP

    4. února 2018 17:29
    Vlastník
  • Dobře, ale to je poměrně malá síť, to tam bude víc řadičů (přeháním samozřejmě) než klientů.

    Co se týká DC - protože (to jde poznat, jsem amatér), četl jsem knížky od Šetky, Stolz, a další, takový ty tlustý knížky v době W2003 a tam ve všech návodech a postupech bylo vždycky AD (aspoň pokud pamatuju) a k AD se instalovalo DNS a DHCP. Je to školní server, nejede na tom podnik, kde dojde k výpadku výroby. Tím se nesnažím hádat (strašně nerad bych prudil, tak doufám, že to tak nevypadá a jestli jo, opravdu nechci, spíš vysvětluju co mě vedlo k tomu, o čem píšu). Nedovedu si představit, že na jednom serveru budu mít třeba jenom DHCP.

    Navíc a to jeden z důvodů, když sem tam hledám na webu nějakou radu, tak jsem mimoběžně registroval, že se někomu pořád něco nereplikuje a podobně. Na jednom serveru nic takového neřeším. Dělám to po práci a nemám čas kolem toho běhat, jednou za sedm let vyměním železo a teď po těch 12 nebo 13 letech i OS. Pak se starám o běžný provoz stanic, údržba.

    Nerozumím, omlouvám se, tomu vystrkovat DNS mimo AD síť. Server má dvě síťovky a každá má na sobě část klientů AD, kteří mají ze serveru IP a jejich překlad řeší DNS na serveru, nic nikde mimo tam (z mého pohledu) není.

    Teď jsem to taky udělal tak, že jsem celou jednu větev prostě vypustil (není v mých silách najít řešení a právě nevím, jestli je), všechno jede jen na jedné síťovce, nic neNATuju a jede to.

    Díky.

    4. února 2018 17:47
  • Proč děláš NAT na lokální síti? Tedy NAT za NATem? Není to zbytečné? Pokud obě síťovky obsluhují dvě lokální sítě, pak bych NAT (a RRAS) vůbec neřešil, ale měl tam jen DNS, DHCP a ADDS.
    4. února 2018 19:38
  • To je pravda.

    počítám s tím, že z obou sítí zůstane jen ta jedna, co jede teď a abych rozložil zátěž, použiju "teaming" - až to nastuduju, nikdy jsem to zatím nepoužil. To je pozůstatek z dřívějška a ze setrvačnosti jsem to chtěl zachovat. Proto jsem se tady ptal, proč mi to nejede, i když vím, že to není dobré řešení.

    Díky

    4. února 2018 20:57
  • A co tam máš tak náročného na síťovou komunikaci, že potřebuješ rozložit zátěž na dvě síťovky?

    Jinak mám pocit, že si naprosto zbytečně komplikuješ život. Doporučil bych Ti:

    1. Nastavit síť klasicky. Tedy jeden adaptér a nic víc.

    2. Ověřit funkčnost domény, DNS, DHCP a případně dalších služeb, které server poskytuje.

    3. Máš-li pocit, že jedno síťové rozhraní (předpokládám, že server je na 1Gbps lince?) nestačí (jsem přesvědčen, že stačit bude), pak zapni monitoring.

    4. Na základě výsledků monitoringu se rozhodni co dál (NIC teaming, virtualizace serverů . . .)


    BB

    5. února 2018 7:01
  • Jeste k dotazu, co prinese dalsi DC v siti dobreho:

    Pokud nekdo resil poskozenou AD na jenom DC a snazil se napriklad o obnovu ze zalohy, nebo ruzne dalsi mechanismy oprav, jiste mi da za pravdu, ze to nebyla prochazka ruzovym sadem. A ve spouste pripadu to nemusi vest k uspesnemu cili.

    Naproti tomu pokud se mi rozbije jedno DC a mam jeste druhe, pak je nahrada poskozeneho DC za nove  o nekolik radu jednodussi, rychlejsi a v drtive vetsine pripadu cesta uspesna.

    5. února 2018 7:45
  • ad 1 - teď to tak je.

    ad 2 - Doména funguje, DNS i DHCP jedou - když mám ten NAT vypnutý, DNS překládá bez problému.

    (spíš by mě už jen technicky zajímalo, jestli to může překládat na obou síťovkách při tom NATu nebo ne)

    ad 3 - Připojených je tak max. do 130 PC, současně ji jede méně. Dvě síťovky jsou spíše psychologické, když tam jsou, proč je nevyužít. Je pravda, že můj původní způsob je špatný. Co se týká zátěže obecně, já myslím, že stíhat to ta jedna síťovka bude, provoz není velký.

    ad 4 - virtualizace já nedám, neumím, monitoring spustím. Obecně je to síť školy, kde je cca 300 děcek, provoz nejvíc internet, učitelé nějaká prezentace, zápis do Bakalářů, při přihlášení profily (bez přesměrovaných složek)

    Díky

    5. února 2018 7:49
  • A jeste k zakladnimu dotazu NAT vs DNS.

    Pripada mi, ze dojdou volne porty. DNSko si alokuje nekolik tisic UDP portu dopredu. Viz napr. https://social.technet.microsoft.com/Forums/windowsserver/en-US/130a5edc-37d3-47fa-afe4-e600c936f155/dns-server-listeming-on-excessive-number-of-udp-ports?forum=winserverNIS

    A obavam se, ze se to nekde potka s NATovanym provozem ven na internet. Predpokladam, ze pres server tece komunikace ven na internet = server je gateway - alespon tak jsem pochopil zapojeni ze slovniho popisu.

    Pocet alokovanych portu lze snadno overit pres NETSTAT.

    A co uz tu bylo receno: dvojity NAT je vetsinou nesmysl a pridelavani prace.




    5. února 2018 7:51
  • " virtualizace já nedám, neumím" - virtualizace se neboj. Základy Hyper-V, tak abys to byl schopen funkčně nasadit se naučíš a odzkoušíš za jeden den.

    V zásadě jde o to na hostitelský server nainstalovat roli Hyper-V, nastavit virtuální switch a pak pomocí průvodce v pár jednoduchcý krocích vytvořit virtuální disk a virtuálni server.

    "Dvě síťovky jsou spíše psychologické, když tam jsou, proč je nevyužít." - neřiď se psychologií, ale fakty.

    Pokud by jsi použil virtualizaci, pak by jsi krásně mohl využít obě síťové karty, rozdělil by jsi role mezi více serverů, mohl by jsi mít dva DC atd. A to vše bez toho, že by jsi rešil problémy, které (nejspíše) vznikly jen díky Tvé lidové tvořivosti.


    BB

    5. února 2018 7:58