none
dubbi configurazione Server dns. RRS feed

  • Domanda

  • salve a tutti.

    ho dei dubbi sulla configurazione di un server dns per la mia azienda.

    l's.o incriminato e windows server 2008r2.

    Posseggo attualmente 7 domini, un server web apache con ubuntu server configurato con i virtual hosts e impostato in questo modo

    www.dominio1.org ---> fa capo a ip statico 22.22.22.22 ----> redirect porta 80 & 443 su lan locale -->> il dominio esiste il server risponde.

    www.dominio2.net ---> fa capo a ip statico 22.22.22.22 ----> redirect porta 80 & 443 su lan locale -->> il dominio esiste il server risponde.

    e così via per tutti gli altri domini , di mia prorpietà e tutti in funzione.

    Da un anno a questa parte le esigenze sono cambiate, e l'avvio di alcuni servizi che richiedono server dedicati di cui uno utlizza database mssql server chiedono più server web.

    l'aggiunta di altri 3 server mi porta a dover utilizzare un server dns per la risoluzione dei nomi al fine di indirizzare la chiamata al server interno desiderato.

    quindi : dominio.1com ---->> server dns --->> server web con ip. 192.155.1.121

    dominio2.net-->> server dns --->A server web con ip 192.155.1.121

    Come si può capire non ho un solo dominio quindi non mi occore un controller di dominio ne active directory perchè non e un solo dominio ad essere gestito ma più domini che significano più zone.

    La configurazione in se del solo servizio dns non mi implica problemi e i nomi vengono risolti, ma solo se chiamo i domini dal browser locale del server e niente altro!.

    una chiamata esterna non mi risolve il nome come desiderato e vorrei capire se la propagazione avviene nei classici tempi ed e solo una questione di attesa oppure sono necessari accorgimenti.

    il fatto che, creando una nuova zona con un nuovo dominio (in locale) il server(dal suo browser qualsiasi esso sia purchè sulla machina) me lo risolve in maniera corretta, facendomi pensare che la configurazione e funzionale.

    chiedo gentilmente un piccolo aiuto in quanto non capisco se sbaglio qualcosa o la configurazione prioprio errata.

    lunedì 10 agosto 2015 13:14

Risposte

  • Ciao,

    secondo me dovresti chiarire qualche concetto di base.

    Innanziutto il concetto di dominio:

    1. Un dominio Microsoft non ha nulla a che vedere con il dominio internet, il domino MS definisce e delimita un contesto di sicurezza, il dominio internet definisce e delimita un contesto di contenuti  ipertestuali.

    2. Active directory puo' gestire 1200 domini in una singlola foresta (aggiungo che comunque non ti serve per gestire domini internet)

    Poi il DNS, non ho capito se il tuo dns e' interno o esterno, ma visto che risolve solo internamente direi interno.

    Se il dominio deve essere visibile dall'esterno devi registrare il dominio ed associare ad esso dei DNS resolver visibili dall'esterno che contengano un record SOA per il dominio, almeno un record NS per il dominio e chiaramente i record A.

    Mi capita che leggendo in fretta mi sfuggano cose, puo' essere che non abbia compreso bene il tuo ambiente, in questo caso ti pregherei di chiarire i punti relativi.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti






    lunedì 10 agosto 2015 13:25
  • Ciao, se non ho capito male riesci a risolvere i nomi esclusivamente dal server DNS che dovrebbe essere il 2008R2.

    Se è questa la situazione reale ti faccio un paio di domande:

    • Gli IP pubblici sono nattati con gli IP privati?
    • I client all'interno della LAN utilizzano come server DNS il 2008R2?

    Dal server e da un client puoi eseguire nslookup www.nome_di_un_dominio

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.


    lunedì 10 agosto 2015 13:35
    Moderatore
  • vedo di raccogliere quello che hai scritto in un discorso organico e darti una risposta.

    per far funzionare tutto dovresti:

    1) aver registrato tutti i tuoi domini di secondo livello presso un DNS mantainer in modo che gli alias punti al tuo (presuno) unico ip pubblico

    2) nattare tutte le richieste che provengono da internet verso un server con IIS configurato opportunamente con gli host headrs names (e il conseguente file hosts o il DNS) e configurato per fare il redirect verso l'apache (per i siti che sono lì ospitati) o verso il server dedicato per i nuovi siti aggiunti

    in buona sostanza l'IIS dovrebbe fare il conditional forwarding verso la risorsa corretta che pubblica il web site richiesto.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 13 agosto 2015 10:07
    Moderatore

Tutte le risposte

  • Ciao,

    secondo me dovresti chiarire qualche concetto di base.

    Innanziutto il concetto di dominio:

    1. Un dominio Microsoft non ha nulla a che vedere con il dominio internet, il domino MS definisce e delimita un contesto di sicurezza, il dominio internet definisce e delimita un contesto di contenuti  ipertestuali.

    2. Active directory puo' gestire 1200 domini in una singlola foresta (aggiungo che comunque non ti serve per gestire domini internet)

    Poi il DNS, non ho capito se il tuo dns e' interno o esterno, ma visto che risolve solo internamente direi interno.

    Se il dominio deve essere visibile dall'esterno devi registrare il dominio ed associare ad esso dei DNS resolver visibili dall'esterno che contengano un record SOA per il dominio, almeno un record NS per il dominio e chiaramente i record A.

    Mi capita che leggendo in fretta mi sfuggano cose, puo' essere che non abbia compreso bene il tuo ambiente, in questo caso ti pregherei di chiarire i punti relativi.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti






    lunedì 10 agosto 2015 13:25
  • Ciao, se non ho capito male riesci a risolvere i nomi esclusivamente dal server DNS che dovrebbe essere il 2008R2.

    Se è questa la situazione reale ti faccio un paio di domande:

    • Gli IP pubblici sono nattati con gli IP privati?
    • I client all'interno della LAN utilizzano come server DNS il 2008R2?

    Dal server e da un client puoi eseguire nslookup www.nome_di_un_dominio

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.


    lunedì 10 agosto 2015 13:35
    Moderatore
  • vedo di raccogliere quello che hai scritto in un discorso organico e darti una risposta.

    per far funzionare tutto dovresti:

    1) aver registrato tutti i tuoi domini di secondo livello presso un DNS mantainer in modo che gli alias punti al tuo (presuno) unico ip pubblico

    2) nattare tutte le richieste che provengono da internet verso un server con IIS configurato opportunamente con gli host headrs names (e il conseguente file hosts o il DNS) e configurato per fare il redirect verso l'apache (per i siti che sono lì ospitati) o verso il server dedicato per i nuovi siti aggiunti

    in buona sostanza l'IIS dovrebbe fare il conditional forwarding verso la risorsa corretta che pubblica il web site richiesto.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 13 agosto 2015 10:07
    Moderatore
  • ciao a tutti spero abbiate passato un buon ferragosto.

    ho risolto.

    il server dns e interno e quello che mi serviva e risolvere i nomi dall'esterno verso l'interno puntando a server web diversi.

    l'utilizzo di host headrs names non mi ha portato a grandi risultati....se crollasse quel solo server avrei 9 domini down in un colpo solo.

    quindi mi occore che il carico sia spostato ad un altro server se quello crolla o crasha.

    domenica 16 agosto 2015 14:34
  • ho letto più volte quello che hai scritto ma non ho capito come hai risolto.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    domenica 16 agosto 2015 16:58
    Moderatore
  • +1 :)

    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 17 agosto 2015 05:44
    Moderatore
  • ho reinstallato win2008 server da zero prima cosa.

    po ho realizzato un server dns configurando le zone con i domini ad esse associate impostando i PTR agli ip dei server che mi occorrevano.

    in locale tutto ok.....il dns funziona e i nomi vengono risolti.

    quello che mi occorreva era risolvere anche da esterno i domini.

    e chiaro che l'ip pubblico e statico.

    per far si che:

    www.dominio.com ---> ip pubblico ----> router ---> server dns ----> server web 1

    www.dominio.net ---> ip pubblico ----> router ---> server dns ----> server web 2

    e così via non ho fatto altro che dirottare il traffico in ingresso sul server dns.

    in sostanza sto eseguendo un forwarding in modo che tutto il traffico in ingresso passi prima per il  server dns.

    ora, avrei potuto utilizzare IIS per inoltrare le richieste ma il problema e che se crolla questo server tutti i domini diventerebbero non dispobili.

    in questo modo invece posso realizzare un server dns secondario, sempre interno, e impostare sempre il router per puntare al secondo server dns quando il primo non rispode.

    questo è stato possibile naturalmente con il router che ho installato qualche mese fa costato una fortuna ma decisamente stabile.

    Qui non si parla di una adls con un router da 37 euro e 4 pc desktop sia chiaro....ho speso dei bei soldi per un hardware stabile.

    Per chi volesse realizzare una rete aziendale piccola e volesse per qualsiasi motivo un server dns esiste anche un'altra soluzione.

    un router interno in cascata a quello adsl a patto che abbia una cofingurazione per i dns che non tutti dispongono....

    quello che non ho testato suggerito da un collega e un firewall che faccia lo stesso lavoro in caso il router non ti permetta questo tipo di configurazione.

    secondo lui potrei mettere un firewall che punti come regola le chiamate in ingresso al server dns.

    Ora se questi nuovi servizi che sto attivando andranno non farò altro che investire ampliare con una struttura più adeguata e un dns pubblico.

    per adesso le esigenze sono minime....non devo e non ho intenzione di fare hosting ma semplicemente vorrei e voglio gestire personalmente in azienda sia hardware che software.

    voi direte" chi te lo fa fare", be.....la clausoletta quando sottoscrivi i contratti che dicono" in qualsiasi momento possiamo staccare tutto qual'ora lo ritenessimo necessario senza spiegazioni"....e uno dei tanti motivi che mi ha portato ad avere una, se pur piccola per adesso, struttura in azienda.

    lunedì 17 agosto 2015 07:54
  • ho reinstallato win2008 server da zero prima cosa.

    po ho realizzato un server dns configurando le zone con i domini ad esse associate impostando i PTR agli ip dei server che mi occorrevano.

    in locale tutto ok.....il dns funziona e i nomi vengono risolti.

    quello che mi occorreva era risolvere anche da esterno i domini.

    e chiaro che l'ip pubblico e statico.

    per far si che:

    www.dominio.com ---> ip pubblico ----> router ---> server dns ----> server web 1

    www.dominio.net ---> ip pubblico ----> router ---> server dns ----> server web 2

    e così via non ho fatto altro che dirottare il traffico in ingresso sul server dns.

    c'è qualcosa che mi sfugge nella tua configurazione: se tu hai un server dns interno verso il quale natti tutti i protocolli che entrano sul router dal tuo ip pubblico, certamente il dns risolverà il nome perchè svolge quel ruolo ma come fa ad inoltrare le richieste http o https verso il web server corretto visto che il server col dns svolge solo quel ruolo ?

    inoltre, è vero che un solo IIS rappresenta un single point of failure, esattamente come un solo dns server, ma come raddoppi i dns puoi anche raddoppiare gli IIS.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 17 agosto 2015 08:21
    Moderatore
  • Scusa, continuo a non capire il problema...

    I record DNS da chi sono gestiti? Tutta la questione gira intorno a questa domanda.

    Se i record DNS sono gestiti da un provider i tuoi siti saranno sempre raggiungibili, anche se i tuoi server DNS interni saranno spenti.

    Se i record DNS sono gestiti all'interno dovrai mantenere il servizio sempre attivo.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 17 agosto 2015 08:22
    Moderatore
  • mi pare di capire che tutto il lavoro lo faccia questo router, giusto ?

    puoi dirci che router è ?



    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 17 agosto 2015 08:24
    Moderatore
  • Mi pare che il router faccia da reverse-proxy in qualche modo

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    lunedì 17 agosto 2015 09:00