none
Настройка DNS и IIS RRS feed

  • Вопрос

  • Имеется Windows Server 2012 R2 Essential. 

    AD + DNS + IIS

    (example.local - домен)

    Из локальной сети ПК не могут войти на сайты размещенные на IIS, только через анонимайзер.

    Внешне доступ к сайтам есть.

    На роутере настроен DHCP, DNS 1 - сервер, DNS 2 - провайдер.

    C:\Windows\system32>nslookup exapmle.org

    ╤хЁтхЁ:  UnKnown
    Address:  192.168.17.125 - локальный

    Не заслуживающий доверия ответ:
    ╚ь :     example.org
    Address:  95.79.38.222 - внешний IP (для форума изменен)

    Что не так? На роутере NAT. 


    18 августа 2015 г. 9:48

Ответы

  • Во-первых, не так  у вас то, что у вас 2 сервера DNS имеют разные пространства имён: сервер знает про ваш домен AD, провайдер - не знает. С помощью nslookup вы обращаетесь только к первому DNS, а разрешение имён в Windows может выбрать любой из них и обращаться только к нему, пока обращение не даст сбой.

    Поэтому есть общее правило, упрощённый вариант которого гласит: в качестве серверов DNS на всех членах домена должны быть указаны контроллеры домена, для того, чтобы контроллеры домена разрешали внешние имена, необходимо чтобы они имели доступ в Интернет по протоколу DNS.

    Во-вторых, многие устройства NAT транслируют в пакетах IP адрес назначения с внешнего на внутренний и обратно, только если пакеты приходят на внешний интерфейс. Поэтому во внутренней сети имя вашего веб-сайта должно разрешаться в его внутренний адрес, а не во внешний. Делается это просто: на контроллерах домена создаётся зона DNS с именем вашего веб-сервера и одной записью типа A с именем, совпадающим с именем домена (то есть - пустым), указывающей на веб-сервер. А если в этой зоне есть другие записи, кроме веб-сервера, то их надо продублировать в ней.


    Слава России!

    • Предложено в качестве ответа Alexander Dekhnik 18 августа 2015 г. 11:14
    • Помечено в качестве ответа Pavel Mochalin 18 августа 2015 г. 13:26
    18 августа 2015 г. 10:51

Все ответы

  • Во-первых, не так  у вас то, что у вас 2 сервера DNS имеют разные пространства имён: сервер знает про ваш домен AD, провайдер - не знает. С помощью nslookup вы обращаетесь только к первому DNS, а разрешение имён в Windows может выбрать любой из них и обращаться только к нему, пока обращение не даст сбой.

    Поэтому есть общее правило, упрощённый вариант которого гласит: в качестве серверов DNS на всех членах домена должны быть указаны контроллеры домена, для того, чтобы контроллеры домена разрешали внешние имена, необходимо чтобы они имели доступ в Интернет по протоколу DNS.

    Во-вторых, многие устройства NAT транслируют в пакетах IP адрес назначения с внешнего на внутренний и обратно, только если пакеты приходят на внешний интерфейс. Поэтому во внутренней сети имя вашего веб-сайта должно разрешаться в его внутренний адрес, а не во внешний. Делается это просто: на контроллерах домена создаётся зона DNS с именем вашего веб-сервера и одной записью типа A с именем, совпадающим с именем домена (то есть - пустым), указывающей на веб-сервер. А если в этой зоне есть другие записи, кроме веб-сервера, то их надо продублировать в ней.


    Слава России!

    • Предложено в качестве ответа Alexander Dekhnik 18 августа 2015 г. 11:14
    • Помечено в качестве ответа Pavel Mochalin 18 августа 2015 г. 13:26
    18 августа 2015 г. 10:51
  • Первые пункты понял, а последний нет.

    На данный момент на AD настроена зона example.local, если я в ней делаю запись типа А то example.org.example.local А 192.168.17.125 

    Создать новую зону? 
    Основную, Дополнительную или зону заглушку?

    DNS по сайту настроены у регистратора. 


    18 августа 2015 г. 11:55
  • Да, вам нужно создать основную зону с именем example.org.

    Затем добавить записи типа A для внутреннего веб-сервера с его внутренним адресом и скопировать, если есть, все остальные записи типа A - почтовый сервер и т.п.


    Слава России!

    18 августа 2015 г. 12:01
  • Всё заработало. Но если я создал зону example.org на локальном сервере, и есть такая же зона на NS серверах регистратора домена где у меня все настройки для данной зоны, кто будет главнее? 

    Возможно ли то что в будущем обращаясь к example.org люди попадут на мой локальный DNS и получать в ответ 192.168.17.125 а не 95.79.38.222

    Как защитится от этого?

    18 августа 2015 г. 12:53
  • А люди снаружи на ваш локальный сервер DNS просто не попадут: т.к. в записях делегирования в Интернете он не значится, то на него могут попасть только те компьютеры, на которых он специально указан как сервер DNS.

    Это - не говоря уж о том, что он за NAT находится и к нему снаружи обратиться невозможно.

    PS Схема, которую вы реализовали, - разные адреса для имён при запросах изнутри и извне вашей сети - называется split DNS (иногда split-brain DNS). Некоторые её вариации входят в рекомендации Microsoft по настройке DNS для Active Directory.


    Слава России!

    18 августа 2015 г. 13:17
  • В вашем случае, вроде бы, autodiscover.ваш.домен


    Слава России!

    19 августа 2015 г. 18:31