none
Внешний DNS не может разрешить внутренние имена. RRS feed

  • Вопрос

  • Доброго времени суток.

    Столкнулся со следующей проблемой.

    Существуют 2 DNS сервера внутренний и внешний. Оба они поддерживают зону ABC.COM.  Назначение каждого из серверов очевидно. Каждый содержит свою версию зоны ABC.COM, никакой передачи нет.

    Допустим есть некий веб сервер с именем 123.ABC.COM. На внутреннем сервере для него, есть A запись, пусть он разрешается в адрес 10.10.10.1

    Внешний DNS сервер находится в DMZ и имеет связь с адресом 10.10.10.1, но он не может разрешить имя 123.ABC.COM в адрес 10.10.10.1 т.к. на нем нет соответствующей А записи.

    Как заставить внешний DNS сервер разрешать подобные имена только для себя не светя их на весь мир?

    Вариант с файлом hosts очевиден, но мне не нравится. Обращаться по IP можно, но хочется обойтись без этого.

    Заранее спасибо, всем кто откликнется.

    12 декабря 2016 г. 13:19

Ответы

  • Есть ещё более очевидный вариант, чем файл hosts: в качестве сервера DNS в сетевых подключениях "внешнего" сервера настроить только "внутренний" сервер DNS.

    Слава России!

    12 декабря 2016 г. 20:58
  • Логика работы подсистемы разрешения имён DNS в Windows (и не только в Windows) основана на предположении, что система имён DNS едина. Поэтому, получив ответ с одного сервера, что имя не найдено, подсистема разрешения имён дальнейшие попытки прекращает.

    Впрочем, в вашем случае можно попробовать настроить под свои нужды для определённых имён (или доменов, содержащих имена) правила для их разрешения через NRPT (политика Computer Configuration\Windows Settings\Name Resolution Policy) в разделе Generic DNS Server на использование для этих конкретных имён или доменов других серверов DNS.


    Слава России!

    13 декабря 2016 г. 11:11
  • Есть ещё более очевидный вариант, чем файл hosts: в качестве сервера DNS в сетевых подключениях "внешнего" сервера настроить только "внутренний" сервер DNS.


    Слава России!

    В этом случае разве мы не получим обратную проблему, внешний сервер не сможет резолвить свои же A записи?

    Конечно, не сможет. Но тут надо выбирать что-то одно.

    Слава России!

    13 декабря 2016 г. 8:51

Все ответы

  • Есть ещё более очевидный вариант, чем файл hosts: в качестве сервера DNS в сетевых подключениях "внешнего" сервера настроить только "внутренний" сервер DNS.

    Слава России!

    12 декабря 2016 г. 20:58
  • Есть ещё более очевидный вариант, чем файл hosts: в качестве сервера DNS в сетевых подключениях "внешнего" сервера настроить только "внутренний" сервер DNS.

    Слава России!

    В этом случае разве мы не получим обратную проблему, внешний сервер не сможет резолвить свои же A записи?
    13 декабря 2016 г. 8:45
  • Есть ещё более очевидный вариант, чем файл hosts: в качестве сервера DNS в сетевых подключениях "внешнего" сервера настроить только "внутренний" сервер DNS.


    Слава России!

    В этом случае разве мы не получим обратную проблему, внешний сервер не сможет резолвить свои же A записи?

    Конечно, не сможет. Но тут надо выбирать что-то одно.

    Слава России!

    13 декабря 2016 г. 8:51
  • Я Вас понял. Спасибо за ответ.

    Но хочется решить вопрос как то более изящно. Не жертвуя чем-то.

    Не совсем понятна логика работы ОС Windows с DNS серверами, если ОС не находит на "основном сервере" соответствующую DNS запись и не может ее разрешить, то почему бы не обратиться на "альтернативный" DNS сервер и далее по всем указанным в сетевых настройках серверам.

    13 декабря 2016 г. 10:24
  • Логика работы подсистемы разрешения имён DNS в Windows (и не только в Windows) основана на предположении, что система имён DNS едина. Поэтому, получив ответ с одного сервера, что имя не найдено, подсистема разрешения имён дальнейшие попытки прекращает.

    Впрочем, в вашем случае можно попробовать настроить под свои нужды для определённых имён (или доменов, содержащих имена) правила для их разрешения через NRPT (политика Computer Configuration\Windows Settings\Name Resolution Policy) в разделе Generic DNS Server на использование для этих конкретных имён или доменов других серверов DNS.


    Слава России!

    13 декабря 2016 г. 11:11
  • Спасибо, буду пробовать.
    13 декабря 2016 г. 11:33
  • Как заставить внешний DNS сервер разрешать подобные имена только для себя не светя их на весь мир?
    Не жертвуя чем-то.

    если Вы оставите как есть, то Вы ничем не жертвуете. Ваши А записи недоступны никому, кроме вторичных авторизованных ДНС, и только тем ДНС клиентам, которые запросили конкретную запись А.
    13 декабря 2016 г. 12:18
    Модератор