none
Win 2008 не резолвит внешние адреса RRS feed

  • Вопрос

  • Доброго времени суток.
    На DNS сервисе на контроллера домена был указан в качестве сервера пересылки другой dns сервис, где в свою очередь в качестве сервера пересылки был указан адрес, данный провайдером. Второй dns сервис оказался давно свернут (как мне сообщили), поэтому на dns контроллера домена указал сервер пересылки, данный провайдером. На контроллере домена в качестве dns (на интерфейсе) указан он сам, альтернативным - данный провайдером. Кэш сервера DNS, кэш клиента DNS были сброшены, nslookup внешних имен работает лишь отчасти (некоторые резолвит, но большинство - нет), при чем к альтернативному dns серверу даже не обращается. Адрес DNS, выданный провайдером 100% рабочий, указывал его как примари на клиентской машине - резолвит все. Если указать в качестве DNS на клиентской машине контроллер домена - также не резолвит практически ни 1 внешнее имя, хотя в качестве альтернативного указан 8.8.8.8. В чем может быть проблема? Помогите пожалуйста.
    16 сентября 2014 г. 4:43

Ответы

  • Можно ли сделать так чтобы зона ru осталась, а запросы при не нахождении имени в этой зоне ru все же отправлялись на сервер пересылки?

    Нельзя. Если в DNS определена зона, он является (считается) авторитетным для этой зоны, и отвечает на запросы к этой зоне только сам. Ничего никуда пересылаться не будет.

    Далее. "Использовать сервер пересылки" - это означает, что вот такого "На контроллере домена в качестве dns (на интерфейсе) указан он сам, альтернативным - данный провайдером" - быть не должно. В принципе. Никаких альтернативных, ни на каком интерфейсе, только собственный (и другие свои DNS на DC, если они есть). Любые внешние только в настройках собственно DNS (в настройках Forwarding, как уже написали).

    Ещё далее :). "Если указать в качестве DNS на клиентской машине контроллер домена - также не резолвит практически ни 1 внешнее имя, хотя в качестве альтернативного указан 8.8.8.8" - Вы не понимаете алгоритмов работы DNS. Обращение к альтернативному (следующему по списку) dns будет только в том случае, когда первый (предыдущий по списку) не отвечает. Никак. Вообще. Если первый отвечает, как угодно, запрос считается выполненным (даже если ответ "не знаю такого имени").

    Что у Вас и происходит: свой DNS не находит имени в "рукопашной" зоне .ru, отвечает, что имя не найдено, и ... всё. Дальше никто никуда не идёт.

    Прибивайте зону .ru и "альтернативные" DNS на интерфейсах самого сервера. Или ищите "хакерские тулзы" для подмены ответов на конкретные имена и форвардинга остальных запросов делее, вместо использования нормального DNS :).


    S.A.

    16 сентября 2014 г. 6:05
  • У меня 2 контроллера в одном сайте, т.е. на интерфейсах резонно задать в качестве dns для первого контроллера: 127.0.0.1 и DC2, для второго соответственно: 127.0.0.1 и DC1, верно?


    Верно. С одним замечанием: MS настоятельно рекомендует указывать собственный адрес (127.0.0.1) не первым в списке. Собственно, это влияет на возможность появления разнообразной ругани в логах при загрузке (поднятии сервисов, потом устаканится), и, очень существенно (хотя очень редко :)) в случае смены собственного IP на DC.

    Сервера пересылок: лучше указать "отданный провайдером" (можно и гугловский добавить) на обеих DC, этим Вы избавляетесь от потенциально единственной точки отказа. И, да, указывать в серверах пересылки "соседа" смысла не имеет.


    S.A.

    16 сентября 2014 г. 8:49

Все ответы

  • Необходимо указывать DNS сервер, который разрешает внешние адреса не в настройках сетевого интерфейса контроллера домена, а в настройках Forwarding DNS или использовать Root Hints

    Настройка DNS-сервера для использования серверов пересылки

    Configure Internal Root Hints


    • Изменено Saqwel 16 сентября 2014 г. 5:08
    16 сентября 2014 г. 5:07
  • Я и использовал сервер пересылки.

    Вот что я обнаружил: резолвятся все внешние адреса доменов НЕ .ru, т.е. microsoft.com, vmware.com, oszone.net и т.д., после этого обратил внимание на зоны и обнаружил зону ru, в которой есть несколько (буквально 3 штуки) записей из небольшой местной региональной сети, которые резолвятся по запросу имя_машины.xxx.ru, т.е. по любому запросу на имя xxxx.ru идет обращение в эту зону, там естественно всякие google.ru отсутствуют, имя не находится и далее запрос на сервер пересылки НЕ отправляется. Можно ли сделать так чтобы зона ru осталась, а запросы при не нахождении имени в этой зоне ru все же отправлялись на сервер пересылки?

    16 сентября 2014 г. 5:27
  • Думаю надо использовать Conditional Forwarders

    Understanding Forwarders

    16 сентября 2014 г. 5:45
  • Можно ли сделать так чтобы зона ru осталась, а запросы при не нахождении имени в этой зоне ru все же отправлялись на сервер пересылки?

    Нельзя. Если в DNS определена зона, он является (считается) авторитетным для этой зоны, и отвечает на запросы к этой зоне только сам. Ничего никуда пересылаться не будет.

    Далее. "Использовать сервер пересылки" - это означает, что вот такого "На контроллере домена в качестве dns (на интерфейсе) указан он сам, альтернативным - данный провайдером" - быть не должно. В принципе. Никаких альтернативных, ни на каком интерфейсе, только собственный (и другие свои DNS на DC, если они есть). Любые внешние только в настройках собственно DNS (в настройках Forwarding, как уже написали).

    Ещё далее :). "Если указать в качестве DNS на клиентской машине контроллер домена - также не резолвит практически ни 1 внешнее имя, хотя в качестве альтернативного указан 8.8.8.8" - Вы не понимаете алгоритмов работы DNS. Обращение к альтернативному (следующему по списку) dns будет только в том случае, когда первый (предыдущий по списку) не отвечает. Никак. Вообще. Если первый отвечает, как угодно, запрос считается выполненным (даже если ответ "не знаю такого имени").

    Что у Вас и происходит: свой DNS не находит имени в "рукопашной" зоне .ru, отвечает, что имя не найдено, и ... всё. Дальше никто никуда не идёт.

    Прибивайте зону .ru и "альтернативные" DNS на интерфейсах самого сервера. Или ищите "хакерские тулзы" для подмены ответов на конкретные имена и форвардинга остальных запросов делее, вместо использования нормального DNS :).


    S.A.

    16 сентября 2014 г. 6:05

  • Далее. "Использовать сервер пересылки" - это означает, что вот такого "На контроллере домена в качестве dns (на интерфейсе) указан он сам, альтернативным - данный провайдером" - быть не должно. В принципе. Никаких альтернативных, ни на каком интерфейсе, только собственный (и другие свои DNS на DC, если они есть). Любые внешние только в настройках собственно DNS (в настройках Forwarding, как уже написали).


    Вопрос к Safronov A. _:

    У меня 2 контроллера в одном сайте, т.е. на интерфейсах резонно задать в качестве dns для первого контроллера: 127.0.0.1 и DC2, для второго соответственно: 127.0.0.1 и DC1, верно?

    И вопрос по поводу серверов пересылок: в 1м DNS (DC1) в качестве сервера пересылки указан внешний dns, отданный провайдером, во 2м DNS (DC2) в качестве сервера пересылки указан DNS1. Имеет ли смысл указать на обоих DNS в качестве первого сервера пересылки DNS отданный провайдером, а в качестве второго сервера пересылки DNS на соседнем DC? Кажется во втором смысла нет, т.к. локальные зоны реплициуются между контроллерами домена, верно?

    Спасибо всем за ответы, описанную в первом посте проблему решил следующим образом:

    зона ru была однокомпонентная, вложенобыло еще 2 однокомпонентных, сделал отдельно 2 двухкомпонентных зоны, а ru удалил.


    16 сентября 2014 г. 7:51
  • У меня 2 контроллера в одном сайте, т.е. на интерфейсах резонно задать в качестве dns для первого контроллера: 127.0.0.1 и DC2, для второго соответственно: 127.0.0.1 и DC1, верно?


    Верно. С одним замечанием: MS настоятельно рекомендует указывать собственный адрес (127.0.0.1) не первым в списке. Собственно, это влияет на возможность появления разнообразной ругани в логах при загрузке (поднятии сервисов, потом устаканится), и, очень существенно (хотя очень редко :)) в случае смены собственного IP на DC.

    Сервера пересылок: лучше указать "отданный провайдером" (можно и гугловский добавить) на обеих DC, этим Вы избавляетесь от потенциально единственной точки отказа. И, да, указывать в серверах пересылки "соседа" смысла не имеет.


    S.A.

    16 сентября 2014 г. 8:49
  • Понял, каждому DC основным DNS на интерфейсе указываю соседа, альтернативным - себя.

    По поводу серверов пересылки тоже ясно.

    Спасибо большое за ваши ответы.

    16 сентября 2014 г. 9:00