none
DNS konfigurace pro počítače mimo doménu

    Dotaz

  • Dobrý den,

    chtěl bych požádat o radu, zda lze (případně jak) nastavit DNS, aby funguval shodně pro PC, které jsou připojeny do domény a také pro ty, které do domény připojené nejsou. Uvedu příklad:

    Server 1 s OS Windows Server 2012 R2 s AD a DNS integrovaným do domény. Název DC1. Doména firma.local .

    Server 2 s OS Windows Server 2012 R2 jako FileServer, připojený do domény. Název EFS.

    Funkce klienta připojeného do domény:

    - po zadání příkazu nslookup efs vrátí správnou IP

    - po zadání příkazu nslookup efs.firma.local vrátí správnou IP

    Funkce klienta NEpřipojeného do domény:

    - po zadání příkazu nslookup efs vrátí, že záznam nelze nalézt ---> jak nastavit DNS, aby i zde vrátil správnou IP?

    - po zadání příkazu nslookup efs.firma.local vrátí správnou IP

    Znovu opakuji dotaz: Jak nakonfigurovat DNS, aby se po zadání "nslookup efs" na domain i non-domain PC vrátila správná adresa FileServeru?

    Nebo musím u PC mimo doménu zadávat pouze celý název efs.firma.local?

    Zkoušel jsem vytvořit .(root) zónu a přidat ten jeden A záznam na FileServer 2. Nslookup se při tomto nastavení sice na PC mimo doménu chová dle požadavků, ale přestanou fungovat PC v doméně. Nejde ani Seznam, Google atd. Po smazání .(root) zase OK (původní stav).

    Děkuji

    2. ledna 2018 10:50

Všechny reakce

  • " po zadání příkazu nslookup efs.firma.local vrátí správnou IP" - myslím, že sis odpověděl sám


    BB

    2. ledna 2018 10:59
  • Takže nelze na PC mimo doménu docílit toho, že nebudu muset v LAN síti zadávat název s firma.local? Kolega na linuxu to umí a pod jeho linux DNS to funguje. Vyskytla se ale potřeba přesunout DNS na Windows a teď budu tedy asi muset všechny nedoménové PC oběhnout a doplnit ".firma.local" ...
    2. ledna 2018 12:10
  • A proč máš vlastně v LAN stanice, které nejsou členem domény?

    BB

    2. ledna 2018 12:13
  • No protože naše firma o sto počítačích donedávna s minulým správcem fungovala zcela bez domény pouze na workgroup. Postupně lidi do domény připojuju, ale tolik lidí převekslovat není nahned.
    2. ledna 2018 12:28
  • Používají počítače mimo doménu stejné DNS servery (doménové řadiče), jako počítače v doméně?

    Nestačilo by přidat tu doménu jako DNS suffix?

    2. ledna 2018 14:37
  • Ano... Představa je taková, že doménové i nedoménové počítače budou používat stejné DNS integrované do AD.

    Se suffixem na straně klienta to funguje dle představ. Zde ale bude třeba také oběhnout PC klientů.

    Kolega má na tom linuxovém serveru údajně tři stejné zóny s různými názvy. Chová se mu to tak,

    že je jedno, jestli se za nslookup zadá "efs.firma.local", "efs.firma.cz", nebo jen "efs". Vždy to vrátí správnou adresu.

    Zóna firma.cz by šla v DNS na serveru asi taky nastavit bez potíží, ale jak správně nastavit tu zónu .(root), aby při jejím vytvoření fungovala i zóna firma.local, internet atd.

    3. ledna 2018 6:10
  • Root zónu přidávat nemůžeš, to logicky pak nebude fungovat nic, protože ten server bude lokálním klientům vracet autoritativní odpovědi na úplně všechny domény.

    Pokud daný DNS server je autoritativní pro doménu firma.cz (NS záznamy pro firma.cz vedou na ten DNS server), pak tu zónu tam přidej. Pokud autoritativní není, pak to sice přidat také můžeš, ale je to cesta do pekla, protože budeš muset trvale udržovat identické všechny záznamy na autoritativním i na tomto lokálním DNS a to je do budoucna cesta k podivným a zdánlivě nevysvětlitelným problémům.

    Nicméně přidat zónu ti podle mě nepomůže, protože aby ti ten server odpověděl, bude tak jako tak muset dostat dotaz na celou doménu. Neposílal náhodou ten kolega DNS suffixy v DHCP? To můžeš nastavit i na Windows Server.

    3. ledna 2018 6:56
  • Rozumím. Ještě se s ním pobavím. To DHCP+Suffix na WinServeru by mělo být řešení. Ještě kdyby tak šlo zařídít, aby si Windows klienti načítali síťovou konfiguraci z Win DHCP serveru a Linuxáři z linuxového DHCP.

    Každopádně díky všem za příspěvky, mám v tom zase o kousek jasněji...

    3. ledna 2018 8:18
  • Proč bys chtěl rozdělit Windows a Linux?

    Jinak to klidně půjde přes MAC adresy.

    3. ledna 2018 12:15
  • Máme tady naše produkty, všechny fungují pod linuxem a stará se o ně kolega. Má svůj DNS, svůj DHCP a další své servery a používají je hlavně SWráři a HWráři. Pak mám já své servery pro "obyčejné" zaměstnance typu marketing, účtárna, servis, výroba atd. Obyčejných zaměstnanců je podstatně více, proto zavádíme doménu. U domény je zas DNS, DHCP, FileServer a další servery. Tohle vše je puštěno do jedné sítě bez VLANů atd. A když si kolega něco na svém DNS přenastaví (často při vývoji experimentují), a zrovna si klient lízne nastavení z jeho DHCP, tak já pak řeším různé problémy...
    3. ledna 2018 14:16
  • "Tohle vše je puštěno do jedné sítě bez VLANů " - to ale asi nebude mít rozumné řešení.

    BB

    3. ledna 2018 19:13
  • A nemůžete integrovat *nixova DNSka do AD? Bind to podporuje, vc. dynamických updatu atd. Tedy doufam, ze jedete na RUZNYCH DOMENACH.

    MP

    3. ledna 2018 19:47
    Moderátor
  • Hlavne bych oddelil site pro vyvoj a pro standardni uzivatele. Staci nejaky L3 switch. routing pak neni problem.
    4. ledna 2018 7:34
  • Pokud to chceš mít oddělené, tak použij VLANy. Pokud to chceš integrovat, pak ty linuxové služby integruj přímo do AD jak píše Miroslav Prágl. Nicméně podle toho co píšeš, že tam dělají různé experimenty, tak bych to spíš oddělil a VLANy jsou na to jak dělané.
    4. ledna 2018 7:34
  • No pokud bude do bindu integrovana AD domena a zapnuta (zabezpecena) dynamicka aktualizace a pokud se experimenty delaji NA JINYCH DOMENACH, mohlo by to chodit.

    Moje zkušenost ale je, ze ačkoliv schopných Win adminu, kteří se radi nauci a nastavi *nixove prostředí je celkem dost, naopak je to vzacnost :(((

    MP

    4. ledna 2018 8:27
    Moderátor
  • Moje zkušenost ale je, ze ačkoliv schopných Win adminu, kteří se radi nauci a nastavi *nixove prostředí je celkem dost, naopak je to vzacnost :(((

    Tahle věta je výstižná. I VLANy jsem kolegovi navrhoval už před rokem, ale stále se jim brání s tím, že to takhle stačí... Je to o dohodě a snad to časem dopadne. Zatím se bohužel vymejšlí jen různé berličky a šetří se na všem možném.

    Znovu díky všem za reakce

    4. ledna 2018 10:52
  • Jak to může stačit, když to nefunguje? :-) Přece není možné mít dva DHCP servery na jedné síti, tohle prostě nejde. A spoléhat na to, že si ten správný klient vykomunikuje tu správnou adresu od toho správného serveru, když je to jen dílem náhody.
    4. ledna 2018 10:58
  • Zkus *nixove adminy trochu vyzkoušet - třeba se jich zeptej, jaky DNS a jake verze pouzivaji a zda jsou schopni jej integrovat s AD DNS a povolit autorizovane dynamicke updaty.

    Pokud budou koukat jak vyorana mys, vis, s kym mas co do cineni.

    MP

    4. ledna 2018 11:04
    Moderátor
  • Me to prijde cele na hlavu :)

    Pokud ma vedeni firmy zajem na hladkem behu zazemi = standarni uzivatele a zaroven chce, aby mohli vyvojari opravdu vyvijet, pak VEDENI firmy ma vyvinout tlak na obe IT vetve ve firme, pripadne zajistit vhodne technicke prostredky - ne, ze nejsou penize.

    Pokud vedeni toto nevidi, pak si koleduje o nejaky pristi problem. Typicky v dobe odevzdavani ucetnich vykazu nepojede sit a financak da firme flastr.

    Jako IT bych pisemne informoval vedeni o moznem bezpecnostnim/pracovnim riziku a mel to nekde schovano. Pri pristim problemu a myti hlavy od vedeni bych jim vesele ukazal pisemne sdeleni - ve stylu "ja vam to rikal"

    Takovy zpusob funguje vzdy. Dulezite je nasmerovat spravnim smerem vedeni firmy, nikoliv se dohadovat s kolegy, jak to udelame, aby to trochu chodilo.

    Jako dodavatel/supportman  takovym zpusobem bezne upozornuji vedeni firem na rizika a vysvetluji, ze usetrenych X tisic muze vest k dalekosahlym a drazsim dusledkum. Vetsinou to velmi rychle pochopi.




    4. ledna 2018 11:29
  • JJ, do kamene tesat.

    Z praktických duvodu doporucuji seznámit se i s *nixovou administraci. Pak muzes sve argumenty v nutnem pripade podporit tim, ze setres neopodstatnene vymluvy a mlzeni konkurenčních kolegu "ze to nejde", "ze za to muzou windousy", "ze je problém na tve strane" ....

    MP

    5. ledna 2018 10:29
    Moderátor