none
Configurare un DNS in una rete RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno a tutti.

    a seguito di un mio quesito http://social.technet.microsoft.com/Forums/it-IT/windowsserverit/thread/eda66bcf-c9a0-4900-bdb8-7b3ae9a02e0b/

    e a seguito ad un problema da un cliente, chiedo quale sia il miglior modo ad avere un buon sistema DNS.

    nel mio caso:

    Situazione: Firewall Zyxell ZyWall UGS20 con LAN1 su 192.168.1.1 e DMZ su 192.168.3.1, WAN 192.168.1.253. Server di dominio con servizi Web, FTP e TFS 192.168.3.200

    Funziona tutto tranne andare sul server da un client digitando il nome del server (\\paserver) ma solo con \\192.168.3.200

    ho risolto come suggerito da Fab88, scrivendo nel file host. Vorrei evitare di andare a scrivere nei PC di tutta la Lan. Premetto che il server è anche un server DNS.

    Posso utilizzare il server per risolvere questo problema?

    Ho letto che Fab88 suggeriva eventualmente di "abilitare sul firewall il passaggio della risoluzione dei nomi netBIOS"

    Servizio datagrammi NetBIOS UDP 138
    Risoluzione dei nomi NetBIOS UDP 137
    Servizio sessioni NetBIOS TCP 139

    Questa cosa m'è sfuggita... Sono regole da impostare nel Firewall? Ci provo.

    Dal mio cliente ho sempre un server uguale al mio e nella rete ci sono pc (XP Pro) con un Software che usa SQL che si trova sul server. Ieri dal mio cliente non funzionava più internet e il gestionale non ha più funzionato. ho notato che il gestionale si collegava a HTCSERVER\SQLEXPRESS. Cambiando con 192.168.1.250 ha funzionato.

    Quindi anche in questa rete i DNS non vanno come devono... sicuramente...sfuttano i DNS di Telecom. Posso utilizzare il server interno alla rete come DNS? faccio bene? Qual'è la migiore situazione?

    Qualche consiglio?

    Pranzo Stefano

    martedì 20 marzo 2012 14:32
    |

Risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Generalmente su una rete interna di piccole dimensioni (specie una che ospita Active Directory) si imposta il D.C. come DNS di riferimento per tutta la rete e poi si impostano uno o più forwarders dal DNS Interno a quelli Internet.

    In questo modo hai una risoluzione coerente dei nomi interni e una risoluzione funzionante dei nomi Internet (uscendo con una sola macchina per fare query sulle porte TCP/UDP 53).

    Anche se non hai A.D. sulla tua rete ma disponi almeno di un server, ti consiglierei la configurazione del servizio DNS su tale macchina e di far passare per essa tutta la risoluzione dei nomi.

    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com


    martedì 20 marzo 2012 14:46
    |

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Generalmente su una rete interna di piccole dimensioni (specie una che ospita Active Directory) si imposta il D.C. come DNS di riferimento per tutta la rete e poi si impostano uno o più forwarders dal DNS Interno a quelli Internet.

    In questo modo hai una risoluzione coerente dei nomi interni e una risoluzione funzionante dei nomi Internet (uscendo con una sola macchina per fare query sulle porte TCP/UDP 53).

    Anche se non hai A.D. sulla tua rete ma disponi almeno di un server, ti consiglierei la configurazione del servizio DNS su tale macchina e di far passare per essa tutta la risoluzione dei nomi.

    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com


    martedì 20 marzo 2012 14:46
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Aggiungo una precisazione.

    Ora dal mio client che si trova sulla LAN1 e non loggato al server come utente AD, ho la rete settata a mano:

    IP = 192.168.1.131

    SNMASK = 255.255.255.0

    Gateway = 192.168.153 (WAN)

    DNS1 = 192.168.3.200 (Sever 2008 R2)

    DNS2 = 192.168.1.1 (Firewall su LAN1)

    ho voluto mettere i dati a mano per forzare il puntamento ai DNS.

    Pranzo Stefano

    martedì 20 marzo 2012 14:47
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Come detto sopra : imposterei sul 192.168.3.200 il servizio DNS con il forwarder verso il tuo firewall (oppure verso uno o più DNS pubblici) e su tutti i client lascerei lui come unico riferimento DNS.

    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com

    martedì 20 marzo 2012 14:50
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Le porte per la risoluzione dei nomi netBIOS le dovresti sbloccare eventualmente sul firewall, ma se ti trovi in due subnet diverse la soluzione migliore è quella che sfrutta direttamente il server DNS che hai già.

    Se con \\localpanatronic.it riesci ad entrare sul server ma non con \\PAServer.localpanatronic.it verifica che la zona primaria sia configurata correttamente (il record di PAServer è presente?). E' integrata in active directory oppure è un DNS separato?


    martedì 20 marzo 2012 14:57
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    nel mio caso:

    Situazione: Firewall Zyxell ZyWall UGS20 con LAN1 su 192.168.1.1 e DMZ su 192.168.3.1, WAN 192.168.1.253. Server di dominio con servizi Web, FTP e TFS 192.168.3.200

    Funziona tutto tranne andare sul server da un client digitando il nome del server (\\paserver) ma solo con \\192.168.3.200

    ho risolto come suggerito da Fab88, scrivendo nel file host. Vorrei evitare di andare a scrivere nei PC di tutta la Lan. Premetto che il server è anche un server DNS.

    Posso utilizzare il server per risolvere questo problema?

    Ho letto che Fab88 suggeriva eventualmente di "abilitare sul firewall il passaggio della risoluzione dei nomi netBIOS"

    [...]

    Qualche consiglio?

    Prima di tutto, dovrai configurare *tutti* i sistemi (sia i clients che il server) per utilizzare come UNICO server DNS il domain controller; ossia, nel tuo caso, l'output di un "ipconfig /all" eseguito su un client o sul server stesso dovrebbe SEMPRE restituire 192.168.3.200 (ammesso che questo sia l'IP del DC/DNS) come UNICO DNS e NON dovrà MAI mostrare alcun altro server, sia questo il router/firewall sia l'IP di un DNS esterno (openDNS, google o quello che è)

    Fatto ciò, ed una volta riavviati il server ed i vari clients, dovrai verificare che la risoluzione DNS funzioni correttamente; se questo non fosse il caso, leggi qui per capire come impostare correttamente il resolver DNS del tuo DC e poi ripeti le verifiche sino a che il tutto funzioni come necessario (in caso di problemi... siamo qui)

    Oltre a quanto sopra, sarà opportuno riconfigurare il firewall in modo che il traffico in uscita diretto verso la porta 53 (UDP e TCP) di hosts esterni sia consentito SOLO per l'indirizzo IP del server e BLOCCATO per tutti gli altri in modo da evitare che qualcuno possa impostare dei DNS esterni; per quanto poi riguarda il traffico NetBT (NetBios su TCP) lo stesso DEVE essere limitato alla rete locale ed il firewall dovrebbe BLOCCARE tale traffico ed impedire che possa "uscire" sulla WAN (esistono delle eccezioni nel caso di VPN ma, a parte queste, chiunque affermi il contrario, evidentemente non ha capito un accidente)

    ciao

    martedì 20 marzo 2012 15:47
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Avendo seguito l'altro 3D mi permetto di aggiungere un particolare. Il DC si trova su una DMZ, ritengo per pubblicare il www, quindi il problema e come gestisce l'instradamento il firewall.

    Esempio pratico:

    PC 192.168.1.x - Gateway 192.168.1.1 - DNS 192.168.3.200 bisogna sapere come il firewall instrada tra le network in quanto non tutti gli apparati ruotano automaticamente.

    Aggiungendo la regola DNS from LAN1 to DMZ risolvi il problema della risoluzione lato client verso il dominio

    Aggiungendo la regola DNS from DMZ to WAN risolvi il problema della risoluzione lato internet

    Questo per grandi linee, non utilizzo Zyxell quindi praticamente non saprei dirti come operare ma ormai hai già scaricato il manuale...

    Saluti

    Nino

    martedì 20 marzo 2012 18:34
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Sono stato fuori da Clienti ma seguivo le vostre risposte le quali sono state molto utili.

    Ho capito che è buona cosa mettere come DNS a tutti i client l'IP 192.168.3.200 che è il Server.

    nella Zona del DNS manca il record di PAServer e appena arrivo a casa.. lo aggiungo.

    Il Firewall ha ancora la configurazione con cui esce di fabbrica. Io ho impostato i vari IP alle 3 Lan di cui utilizzo sulo due: 192.168.1.1 per la LAN1 e 192.168.3.200 per la DMZ.

    A quanto ho capito la DMZ non è consigliabile per un DC ma purtroppo avendo un solo Server.. non so come fare. Metto il server in una Lan diversa e non nella DMZ?

    A titolo informativo, come descritto negli altri Thread, io  sono un programmatore e per varie esigenze ho messo un server qui a casa. Queste esigenze sono oltre ad avere un TFS centralizzato ed un SQL centralizzato, anche poter fare esperienza e capire un poco di "Sistemista" per quei piccoli interventi da fare presso i clienti. Qui purtroppo devi essere contento se riesci a vendere un Software..e poi diventi per il cliente Sistemista, Programmatore, ecc... e dato che qui mi conoscono anche per le mie competenze in elettronica.. sistemo anche la parabolica di SKY sulla barca del cliente...Per motivi economici..e di spazio.. non posso permettermi di avere 2 o più server..(Macchine server separate) e quindi faccio tutto con una (sono tra i pochissimi qui da queste parti ad avere in casa PC e server tutti in regola con le licenze).

    Quindi tutto quello che dico..è frutto di studio recente.. e prove, quindi molte volte dico cose senza senso.. perdonatemi.

    Ora mi metto (se riesco..altrimenti domattina) e faccio alcune prove e poi vi faccio sapere, cioè:

    Aggiungo il record paserver al server DNS (devo capire come si aggiunge).

    Poi imposto il resolve seguendo il link suggerito da ObiWan.

    Poi testo il tutto...

    Se tutto funziona setto il Firewall che fa da DHCP Server, che imposti ai client il DNS giusto e precisamente il Server mio DNS.

    Poi mi rimane solo di configurare le varie porte del Firewall che fino a qui ho lasciato disabilitato per essere sicuro che tutto funziona.

    Grazie ancora a tutti prima di tutto per la pazienza.

    Pranzo Stefano

    martedì 20 marzo 2012 20:56
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Eccomi nuovamente qui.

    Il DNS del server ha nel Tab Zone di ricerca diretta due zone:

    1) _msdcs.localpanatronic.it

    2) localpanatronic.it

    dal PC riesco ad entrare nel server scrivendo:

    \\localpanatronic.it ma con \\paserver no.

    Ho visto che nella zina localpanatronic.it c'è un record chiamato paserver di Tipo Host (A) con IP 192.168.3.200.

    Devo fare una nuova Zona? l'ho fatta ma non cambia nulla..i Server d'innoltro funzionano ma solo se ho il Server fuori dalla DMZ..quindi devo verificar il Firewall.. Per ora lo tengo fuori per risolvere il problema di "paserver".

    Grazie

    Pranzo Stefano

    mercoledì 21 marzo 2012 07:30
    |