none
Помогите настроить внутренний сервер DNS ( третий в сети) для пересылок на внешние адреса RRS feed

  • Вопрос

  • Доброго времени суток!

    прошу помочь добить эту проблему! Нужно донастроить TMG..

    Схема сети такая :

    Два контроллера домена 2012r2 они же DNS сервера, TMG 2010 на 2008r2 отдельно. Все в одной сети. TMG в домене, настроен как пограничный с двумя сетевыми интерфейсами.

    Для безопасности и разгрузки двух других DNS на контроллерах хочу установить третий DNS сервер на сервер TMG.

    Вопросы:

    1. TMG должен быть в домене ? Кажется что нет, иначе настройка пересылки передастся на другие днс сервера и смысл будет только в разгрузке

    2. С начала попытался добавить в настройку DNSов на контроллерах Сервер пересылки внешние DNS провайдера. Это не сработало - они не определялись ( Попытка разрешения - не разрешено). Создал правила доступа в TMG для DNS во внешнюю сеть, прописал IP TMGсервера на контроллерах (они же DNS) в качестве шлюза.. Что я делал не так?

    3. Если TMG  будет не в домене ( не будет передавать настройки DNSам на котроллерах) и т.к. на нем две сетевые карты ( одна внешняя) то DNS провайдера в Сервер пересылок  должен определиться...верно?

    30 апреля 2015 г. 15:41

Ответы

  • Подождите. В параллельной теме у вас не ходил трафик, разрешенный правилами. Сначала надо разобраться с этим.

    Сервер DNS на TMG будет работать независимо от того, в домене ли TMG или нет: в любом случае, TMG на контроллер домена не устанавливается, а потому серверу DNS, чтобы он разрешал имена в домене AD нужна дополнительная настройка - условная пересылка, зоны заглушки или вторичные зоны для зон, используемых доменом AD (их по умолчанию две).

    Пересылку на серверы DNS провайдера настраивать совсем не обязательно - сервер DNS в MS Windows Server отлично умеет сам использовать корневые серверы DNS интернета и обращаться по возвращаемым ими ссылкам.

    Для того, чтобы сервер DNS мог обращаться к другим серверам, необходимо разрешить исходящий трафик протокола DNS из сети Local Host в сеть External и к DNS-серверам внутренней сети.


    Слава России!


    • Изменено M.V.V. _ 30 апреля 2015 г. 16:54
    • Помечено в качестве ответа Tomas Lilov 1 мая 2015 г. 5:10
    • Снята пометка об ответе admin bob 2 мая 2015 г. 4:36
    • Помечено в качестве ответа admin bob 2 мая 2015 г. 4:49
    30 апреля 2015 г. 16:52

Все ответы

  • Подождите. В параллельной теме у вас не ходил трафик, разрешенный правилами. Сначала надо разобраться с этим.

    Сервер DNS на TMG будет работать независимо от того, в домене ли TMG или нет: в любом случае, TMG на контроллер домена не устанавливается, а потому серверу DNS, чтобы он разрешал имена в домене AD нужна дополнительная настройка - условная пересылка, зоны заглушки или вторичные зоны для зон, используемых доменом AD (их по умолчанию две).

    Пересылку на серверы DNS провайдера настраивать совсем не обязательно - сервер DNS в MS Windows Server отлично умеет сам использовать корневые серверы DNS интернета и обращаться по возвращаемым ими ссылкам.

    Для того, чтобы сервер DNS мог обращаться к другим серверам, необходимо разрешить исходящий трафик протокола DNS из сети Local Host в сеть External и к DNS-серверам внутренней сети.


    Слава России!


    • Изменено M.V.V. _ 30 апреля 2015 г. 16:54
    • Помечено в качестве ответа Tomas Lilov 1 мая 2015 г. 5:10
    • Снята пометка об ответе admin bob 2 мая 2015 г. 4:36
    • Помечено в качестве ответа admin bob 2 мая 2015 г. 4:49
    30 апреля 2015 г. 16:52
  • Сервер DNS на TMG будет работать независимо от того, в домене ли TMG или нет: в любом случае, TMG на контроллер домена не устанавливается, а потому серверу DNS, чтобы он разрешал имена в домене AD нужна дополнительная настройка - условная пересылка, зоны заглушки или вторичные зоны для зон, используемых доменом AD (их по умолчанию две).


    TMG на контроллер и не хотел ставить. TMG установлен отдельно и я хотел настроить третий отдельный DNS сервер роль которого будет установлена на сервере TMG. Т.к. не безопасно открывать внутренние сервера во внешнюю сеть, хотел настроить еще один независимый DNS сервер на TMG сервере, к которому бы обращались два других внутренних DNS сервера для разрешения внешних адресов,но сами небыли подключены напрямую в интернет.

    По поводу AD насколько я понял ничего без firewall client не получиться.. Но! На тестовой машине я его поставил - он не находит TMG. Возможно проблемы с DNS серверами или как вы уже написали - надо разбираться почему не применяются правила..

    Вопрос

    Правил в настройке "Политики файрвола" достаточно? Или нужно еще что-то докручивать в Системных политиках ? 

    upd. нашел боле менее понятное объяснение работы правил TMG с примером:

    Правила доступа на сервер TMG проверяются последовательно сверху вниз. Как только запрос клиента подошел под одно из правил (по трем полям: Protocol, From, To), так просмотр правил прекращается, т.е. остальные — игнорируются. И если запрос не удовлетворяет полю Condition этого правила, то доступ клиенту не предоставляется, несмотря на то, что следом может идти правило, разрешающее такой доступ. Хорошо что есть пример , иначе не понял бы.




    • Изменено admin bob 2 мая 2015 г. 8:59
  • Правил в настройке Политики файрвола достаточно: в системной политике запрещающих правил нет.

    Клиент файрвола нуден только для работы с правилами для не-HTTP трафика, в которых предусмотрена фильтрация по пользователям. Если таких правил нет - клиент не нужен.


    Слава России!

  • завтра это все проверю и отпишусь! Спасибо!Вы очень помогаете, но пока тему закрывать не буду...