none
TMG 2010 настройка избыточности ISP RRS feed

  • Вопрос

  • Добрый день! В компании доменная сеть, на границе между локальной сетью и интернетом установлен TMG 2010 и настроен как пограничный межсетевой экран. Для отказоустойчивости решили подключить второго провайдера. Монтажники линию до серверной комнаты протянули, осталось только мне её подключить. К сожалению до этого момента не было опыта настройки двух провайдеров. В интернете нашел инструкцию по этому поводу.

    Немного смутил один момент. dns сервера первого провайдера я указал в нашем dns сервере в разделе forwards. При подключении второго провайдера его dns севера я тоже собираюсь указать в разделе forwards

    Как будет работать разрешение имен используя два разных канала?
    Например: пользователь шлет запрос на разрешение имен, локальный dns сервер перенаправляет запрос на dns сервер первого провайдера(у него в настройка стоит использовать с начало его), а сама tmg отправит запрос на линию второго провайдера и там он будет искать dns сервер другого провайдера. Я к тому что времени больше потратиться. В таком случаи лучше указать какой то один публичный dns север что бы до него можно было дойти с любого провайдера?
    Например yandex 77.88.8.8

    18 июля 2014 г. 4:31

Ответы

  • "Локальный DNS шлет запрос на разрешение имен первому провайдеру из списка." - давайте по порядку. локальный dns посылает запрос на вышестоящие fqdn имена согласно списка forward dns, начиная с первого и по убыванию если какой-либо не отвечает.

    "получая этот пакет шлет по линии второго провайдера и локальный dns получает отказ" вот тут я вас не понял вообще! у вас есть внешний хостинг так? имеются внешние адреса на которых сидит tmg и публикует ваш локальный dns сервер. в по крайней мере так должно быть!вашему dns серверу абсолютно не важно какой у вас канал идет приоритетным, а TMG абсолютно не важно какой dns forward стоит первым, он получает настройки имен из корневых dns серверов! даже если вы настроите вторичный канал провайдера "B" как основной, а но в настройках локального dns forward первым стоит dns первичного канал провайдера "A", он все равно достучится понимаете? вы вообще можете пользоваться каналом интернета одного провайдера, а в forward dns вбить совсем другого и будет все работать, а можете вообще не того, ни другого не использовать и юзать корневые dns сервера типа google. поэтому и говорю, начните с подробным ознакомлением dns.


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    18 июля 2014 г. 12:31

Все ответы

  • Как будет работать разрешение имен используя два разных канала?

    разрешение имен будет работать также как и работало бы без второго канала, оно работает строго от настроек dns, если вы выставите несколько forward dns то работать они будут согласно последовательности, если первый будет не отвечать, тогда dns обратиться ко второму. главное в настройках внешних сетевых tmg не указывайте dns, там должно быть пусто, а на internal lan должны быть выставлены ваши локальные dns, вот и все.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    18 июля 2014 г. 5:12
  • Когда TMG будет пытаться достучаться до dns провайдера через вторую линию, а этот dns находиться на первой линии и если получит отказ, tmg сделать повторный запрос локальному dns серверу и он в этот раз обратиться ко второму dns серверу( forward указаны dns двух провайдеров) который находиться на второй линии. Так?
    18 июля 2014 г. 10:26
  • Когда TMG будет пытаться достучаться до dns провайдера через вторую линию, а этот dns находиться на первой линии и если получит отказ, tmg сделать повторный запрос локальному dns серверу и он в этот раз обратиться ко второму dns серверу( forward указаны dns двух провайдеров) который находиться на второй линии. Так?

    советую для начала почитать как работает dns. tmg вообще по барабану кто какой dns, поймите простую суть, вы можете вообще вбить корневые dns и все, не париться. он не будет делать никакого повторного запроса локальному dns, он будет делать один единственный запрос вашему локальному dns и все, больше никому, это уже ваш локальный dns будет строить разрешения имен дальше, если не доступен 1-й dns forward указанный вами, постучится второму и так далее.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    18 июля 2014 г. 11:19
  • Вы меня не понимаете что я хочу узнать. Возможно я не правильно изъясняюсь.

    Локальный DNS шлет запрос на разрешение имен первому провайдеру из списка. TMG настроена как Load balancing with failover capability(балансировка нагрузки с возможностью переключения при сбое) получая этот пакет шлет по линии второго провайдер и локальный dns получает отказ(этот dns провайдера не доступен на этой линии) . Локальный DNS повторно шлет запрос но уже на другой DNS адрес, пакет попадает на вторую линию провайдера и соответственно доходит до назначения





    • Изменено betcon 18 июля 2014 г. 12:22
    18 июля 2014 г. 12:09
  • "Локальный DNS шлет запрос на разрешение имен первому провайдеру из списка." - давайте по порядку. локальный dns посылает запрос на вышестоящие fqdn имена согласно списка forward dns, начиная с первого и по убыванию если какой-либо не отвечает.

    "получая этот пакет шлет по линии второго провайдера и локальный dns получает отказ" вот тут я вас не понял вообще! у вас есть внешний хостинг так? имеются внешние адреса на которых сидит tmg и публикует ваш локальный dns сервер. в по крайней мере так должно быть!вашему dns серверу абсолютно не важно какой у вас канал идет приоритетным, а TMG абсолютно не важно какой dns forward стоит первым, он получает настройки имен из корневых dns серверов! даже если вы настроите вторичный канал провайдера "B" как основной, а но в настройках локального dns forward первым стоит dns первичного канал провайдера "A", он все равно достучится понимаете? вы вообще можете пользоваться каналом интернета одного провайдера, а в forward dns вбить совсем другого и будет все работать, а можете вообще не того, ни другого не использовать и юзать корневые dns сервера типа google. поэтому и говорю, начните с подробным ознакомлением dns.


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    18 июля 2014 г. 12:31
  • Все работает. Спасибо за ответ
    5 августа 2014 г. 2:38