none
DNS-сервер и разрешение имен RRS feed

  • Вопрос

  • Добрый день. Возникла следующая проблема. Пользуясь рекомендациями Microsoft, поднял для одной маленькой компании домен и все бы хорошо, но компания маленькая и ее сайт находится у хостера, у кого-то там в обслуживании. Т.е. доступа к внешним DNS, я не имею.

    Суть в чем. Имеется внутренний домен corp.domain.com и соответственно domain.com, который находится в интернете. Но внешний domain.com настроен таким образом, что все запросы которые заканчиваются на *.domain.com он перенаправляет на domain.com, даже если запрос выглядит как slakdjlaskj.sadsdal.domain.com, перенаправление пойдет на domain.com (Кстати, как по-научному называется эта функция?).

    После того, как я поднял домен, настроил все службы, ввел все компьютеры в домен, через неделю выяснилась неприятная особенность, внутренние адреса fqdn.corp.domain.com тоже стали резолвится как domain.com, т.е. если я пингую из внутренней сети к примеру DC acdc01.corp.domain.com возвращается адрес (он всегда одинаков) 186.40.21.18, если я пингую адрес компа ac001.corp.domain.com, возвращается 186.40.21.18. Я выполняю команду ping notexist, возвращается 186.40.21.18

    Т.е. мой внутренний DNS-сервер, следуя логике работе DNS, передал все полномочия dns-серверу domain.com, т.к. он является более авторитетным в разрешение имен в любой зоне, которая заканчивается на domain.com. Собственно вопрос, как запретить пересылку DNS-запроса которая приходит на *.corp.domain.com на домен, который находится выше. Закрыть сам domain.com на шлюзе, я не могу, он требуется для работы сотрудникам.

    ОС Windows 2012.

    27 сентября 2013 г. 12:21

Ответы

  • Ну вот как всегда, все оказалось гораздо проще. Спасибо, что подтолкнули на решение проблемы.

    На сервере DNS-форвардинг настроен, но настроен он был на 172.20.2.1, 8.8.8.8 и IP DNS провайдера. После того, как я убрал из DNS-сервера, свой внутренний шлюз-DNS (172.20.2.1) и перенаправил все на внешние DNS. У меня перестало резолвится, вообще все, кроме того что было в кэше. Заподозрив неладное, полез в логи девайса, на котором и обнаружилось, что все запросы на 53 адрес, блокировать. Убрал правило, все заработало. В свою защиту скажу, что роутер настраивал не я:)

    Убрал с клиентов 172.20.2.1, как альтернативный DNS. На самом сервере, указал как первичный его самого и альтернативным ДНС гугла. До этого я так делал, но у меня переставало работать вообще все, поэтому каждый раз я возвращал его обратно.

    В общем спасибо) 

    • Помечено в качестве ответа AndricoRusModerator 27 сентября 2013 г. 13:31
    27 сентября 2013 г. 13:27
  • адрес получается по DHCP и первый DNS адрес, стоит 172.20.2.5

    Этого достаточно для клиентов. Но на них должен стоять только этот адрес. Контроллер должен смотреть на себя и на партнёров в качестве DNS и уже в свойствах самих DNS-серверов должен быть настроен Forwarding запросов на провайдерские адреса. Это для начала.

    п.с. вынужден убегать скоро - пока ограничусь запросом информации :)


    Active Directory? Ask me how.

    • Помечено в качестве ответа TimberW 27 сентября 2013 г. 13:37
    27 сентября 2013 г. 13:00
    Модератор

Все ответы

  • для начала ipconfig /all с контроллеров и с пары клиентов...

    п.с. функция называется Forwarding или пересылка запросов :)


    Active Directory? Ask me how.


    27 сентября 2013 г. 12:27
    Модератор
  • DC+DNS+сборная солянка

    ipconfig /all
    Windows IP Configuration
       Host Name . . . . . . . . . . . . : ACDC01
       Primary Dns Suffix  . . . . . . . : corp.domain.com
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : corp.domain.com
    Ethernet adapter Ethernet:
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft Hyper-V Network Adapter
       Physical Address. . . . . . . . . : 
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv4 Address. . . . . . . . . . . : 172.20.2.5(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 172.20.2.1
       DNS Servers . . . . . . . . . . . : 172.20.2.1
                                           8.8.8.8
       NetBIOS over Tcpip. . . . . . . . : Enabled
    Tunnel adapter isatap.{34346F07-0C05-4A8D-9B04-02A514D2AB5A}:
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::5efe:172.20.2.5%13(Preferred)
       Default Gateway . . . . . . . . . :
       DNS Servers . . . . . . . . . . . : 172.20.2.1
                                          8.8.8.8
       NetBIOS over Tcpip. . . . . . . . : Disabled
    Tunnel adapter Local Area Connection* 11:
       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    ping ac0001

    Pinging ac0001.corp.domain.com [188.40.xx.xx] with 32 bytes of data:

    ping utttsa231xz

    Pinging utttsa231xz.corp.domain.com [188.40.xx.xx] with 32 bytes of data:

    При этом, если смотреть в оснастку DNS-сервера, то там верные адреса.


    На клиентах к сожалению, вывод показать не могу, т.к. работаю  с ними по удаленке, но на них тоже самое, кроме того, что адрес получается по DHCP и первый DNS адрес, стоит 172.20.2.5

    27 сентября 2013 г. 12:52
  • адрес получается по DHCP и первый DNS адрес, стоит 172.20.2.5

    Этого достаточно для клиентов. Но на них должен стоять только этот адрес. Контроллер должен смотреть на себя и на партнёров в качестве DNS и уже в свойствах самих DNS-серверов должен быть настроен Forwarding запросов на провайдерские адреса. Это для начала.

    п.с. вынужден убегать скоро - пока ограничусь запросом информации :)


    Active Directory? Ask me how.

    • Помечено в качестве ответа TimberW 27 сентября 2013 г. 13:37
    27 сентября 2013 г. 13:00
    Модератор
  • Тащемта на DHCP адресом DNS сервера прописываете адрес DC, на DC есть поднятая DNS служба, в свойствах которой вы указываете, что она авторизована для обслуживания домена domain.com (оно по умолчанию так и будет, но всё же проверьте), для всех остальных зон настройте серверы пересылки. Затем на клиентах ipconfig /release && ipconfig /renew, в свойствах сетевого подключения DC - свойства сетевого протокола в качестве DNS сервера указываете себя любимого. В логи не смотрите до перезагрузки чтобы в обморок не упасть от красно-желтого мельтешения. Перезагружаете DC смотрите как всё поднялось. Вдумчиво читаете логи после перезагрузки и поправляете мелкие огрехи. 

    В DNS отдельно создаете А записи для внешнего сайта www.domain.com. В этом случае все желающие попасть на сайт из внутренней сети смогут попасть. Ваши телодвижения не затронут никого из обращающихся извне.

    27 сентября 2013 г. 13:24
  • Ну вот как всегда, все оказалось гораздо проще. Спасибо, что подтолкнули на решение проблемы.

    На сервере DNS-форвардинг настроен, но настроен он был на 172.20.2.1, 8.8.8.8 и IP DNS провайдера. После того, как я убрал из DNS-сервера, свой внутренний шлюз-DNS (172.20.2.1) и перенаправил все на внешние DNS. У меня перестало резолвится, вообще все, кроме того что было в кэше. Заподозрив неладное, полез в логи девайса, на котором и обнаружилось, что все запросы на 53 адрес, блокировать. Убрал правило, все заработало. В свою защиту скажу, что роутер настраивал не я:)

    Убрал с клиентов 172.20.2.1, как альтернативный DNS. На самом сервере, указал как первичный его самого и альтернативным ДНС гугла. До этого я так делал, но у меня переставало работать вообще все, поэтому каждый раз я возвращал его обратно.

    В общем спасибо) 

    • Помечено в качестве ответа AndricoRusModerator 27 сентября 2013 г. 13:31
    27 сентября 2013 г. 13:27