none
Странности с DNS RRS feed

  • Вопрос

  •  

    Такую странную ситуацию наблюдаю.

    Есть сервер ISA Server 2006 SP1. Клиентский компьютер настроен на работу в режиме proxy с этим сервером (клиент ISA не стоит). В качестве сервера DNS указан внутренний сервер компании dc1. Этот сервер dc1 в качестве шлюза имеет адрес сервера ISA. На сервере ISA настроено разрешающее правило для трафика DNS. Все работает.

     

    Далее. На компьютере клиента снимаю настройку работы через proxy. В качестве шлюза указываю маршрутизатор, который через NAT обеспечивает доступ в Internet. Сервер DNS остается тем же. В такой конфигурации работа происходит крайне нестабильно. Проверяю работу с помощью команды ping -a на клиенте. Выдается сообщение, что не может разрешить имя. Такое происходит с именами, которых нет в кеше. Старые, уже разрешенные адреса, находящиеся в кеше, продолжают разрешаться и пинговаться (если конечно на другом конце не отключена возможность работы с пингом). В случае задания в команде ping адреса IP вместо имени сайта, работа команды происходит в штатном режиме. IE в этом случае выдает сообщение о невозможности отобразить страницу. При этом в строке состоиния выдается Поиск... После некоторого времени, выдется стандартное сообщение.

     

    Ставлю опять галочку proxy. Теперь IE выводит все страницы - и старые и новые.

     

    Внешние интерфейсы маршрутизатора и ISA выходят к одному провайдеру.

     

    Может быть у кого-нибудь есть мысли по тому, что происходит, и как исправить ситуацию? Ведь разрешение имен не должно пропадать из-за того, существует ли галочку proxy или нет?

     

    Михаил

    22 января 2009 г. 7:42

Все ответы

  •  MikAndr написано:

     

    Такую странную ситуацию наблюдаю.

    Есть сервер ISA Server 2006 SP1. Клиентский компьютер настроен на работу в режиме proxy с этим сервером (клиент ISA не стоит). В качестве сервера DNS указан внутренний сервер компании dc1. Этот сервер dc1 в качестве шлюза имеет адрес сервера ISA. На сервере ISA настроено разрешающее правило для трафика DNS. Все работает.

     

    Далее. На компьютере клиента снимаю настройку работы через proxy. В качестве шлюза указываю маршрутизатор, который через NAT обеспечивает доступ в Internet. Сервер DNS остается тем же. В такой конфигурации работа происходит крайне нестабильно. Проверяю работу с помощью команды ping -a на клиенте. Выдается сообщение, что не может разрешить имя. Такое происходит с именами, которых нет в кеше. Старые, уже разрешенные адреса, находящиеся в кеше, продолжают разрешаться и пинговаться (если конечно на другом конце не отключена возможность работы с пингом). В случае задания в команде ping адреса IP вместо имени сайта, работа команды происходит в штатном режиме. IE в этом случае выдает сообщение о невозможности отобразить страницу. При этом в строке состоиния выдается Поиск... После некоторого времени, выдется стандартное сообщение.

     

    Ставлю опять галочку proxy. Теперь IE выводит все страницы - и старые и новые.

     

    Внешние интерфейсы маршрутизатора и ISA выходят к одному провайдеру.

     

    Может быть у кого-нибудь есть мысли по тому, что происходит, и как исправить ситуацию? Ведь разрешение имен не должно пропадать из-за того, существует ли галочку proxy или нет?

     

    Михаил



    Маршрутизатор что из себя представляет ?
    22 января 2009 г. 7:45
  •  MikAndr написано:

    Может быть у кого-нибудь есть мысли по тому, что происходит, и как исправить ситуацию? Ведь разрешение имен не должно пропадать из-за того, существует ли галочку proxy или нет?

    Да, не должно.

    Только разрешение имен происходит при этом на разных хостах: при работе через прокси-сервер - на прокси-сервере, при работе без прокси-сервера - непосредственно на клиенте.

    Сравнивайте настройки DNS-серверов на клиенте и на ISA Server.

    Кроме того, если Вы считаете, что DNS на DC1 должен разрешать имена из внешнего мира, то проверьте, работает ли на нем разрешение внешних имен - убедитесь, что на нем нет корневой зоны DNS (".") и на вкладке Наблюдение свойств сервера протестируйте "Рекурсивный запрос...".

    Но проще всего, наверное, будет сделать на клиенте такие же настройки DNS, как на ISA Server.

     

     

    22 января 2009 г. 8:35
  • Маршрутизатор D-Link DIR-100

     

    22 января 2009 г. 11:23
  • По идее, все что сказано правильно. Но вот, что я заметил. У всех клиентов стоит галочка proxy. Однако, когда я включаю мониторинг по фильтру на сервер DC1 (который DNS сервер), я вижу, что идет активный трафик разрешения имен именно от клиента DC1. Если разрешение производит ISA, то почему присутствует трафик от DC1 по разрешению имен? Из этого я сделал вывод, что разрешение имен в обоих случаях выполняет DC1.

    Или я ошибаюсь?

     

    Михаил

     

    22 января 2009 г. 11:27
  • Возможно, это не разрешение имен внешних сайтов, а какие-то другие запросы.

    Я же свой вывод делаю на том простом основании, что в протоколе работы с proxy клиент посылает на proxy имя сайта как часть URL, соответственно, преобразовывать имени сайта в его IP браузеру в этом случае не требуется.

    PS А Вы проверили, может ли DC1 разрешать внешние имена, как я писал выше?

     

     

    22 января 2009 г. 15:41
  • В идеале, и клиенты внутренней сети, и ISA Server должный использовать внутренние сервера DNS для разрешения как внутренних, так и внешний сетевых имён. Более подробно про всевозможные топологии системы разрешения имен можно прочитать к цикле статей Томаса Шиндера The Definitive Guide to ISA Firewall Outbound DNS Scenarios.

    23 января 2009 г. 6:03
  • Так оно и есть. На сервере ISA в качестве DNS прописан DC1, он же прописан и на клиенте.

     

    Михаил

    23 января 2009 г. 6:23
  • Да нет. Когда я наблюдаю трафик на странице мониторинга, отображается применение правила DNS, которое пропускает трафик DNS от DC1.

     

    Михаил
    23 января 2009 г. 6:26
  • А можно посмотреть ipconfig /all и route print с клиента (настроенного на работу с роутером) и c ISA Server?

    И еще вопрос (может, Вы писали раньше, но я не заметил) - установлен ли на проблемном компьютере Firewall Client?

     

     

    23 января 2009 г. 11:44
  •  MikAndr написано:
    Да нет. Когда я наблюдаю трафик на странице мониторинга, отображается применение правила DNS, которое пропускает трафик DNS от DC1.

     

    Михаил


    Встречал данную картину с другим оборудованием (Cisco)

    Покажите таблицу маршрутизации с D-Link

    Попробуйте установить DNS сервер и настроить forward на внешние DNS

    Зона для домена будет secondary

    О результатах отпишитесь.
    23 января 2009 г. 13:16
  •  

    ipconfig /all:

     

    Настройка протокола IP для Windows

            Имя компьютера  . . . . . . . . . : acerao150
            Основной DNS-суффикс  . . . . . . :
            Тип узла. . . . . . . . . . . . . : смешанный
            IP-маршрутизация включена . . . . : нет
            WINS-прокси включен . . . . . . . : нет

    Беспроводное сетевое соединение - Ethernet адаптер:

            Состояние сети  . . . . . . . . . : сеть отключена
            Описание  . . . . . . . . . . . . : Atheros AR5007EG Wireless Network Ad
    apter
            Физический адрес. . . . . . . . . : 00-23-4D-9A-A8-9F

    Подключение по локальной сети - Ethernet адаптер:

            DNS-суффикс этого подключения . . :
            Описание  . . . . . . . . . . . . : Realtek RTL8102E Family PCI-E Fast E
    thernet NIC
            Физический адрес. . . . . . . . . : 00-1E-68-FE-73-86
            Dhcp включен. . . . . . . . . . . : нет
            IP-адрес  . . . . . . . . . . . . : 172.16.200.249
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . : 172.16.200.40
            DNS-серверы . . . . . . . . . . . : 172.16.200.18
                                                172.16.200.4

     

    route print:

     

    ===========================================================================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 23 4d 9a a8 9f ...... Atheros AR5007EG Wireless Network Adapter - ╠шэш
    яюЁЄ яырэшЁют∙шър яръхЄют
    0x3 ...00 1e 68 fe 73 86 ...... Realtek RTL8102E Family PCI-E Fast Ethernet NIC
    - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
    ===========================================================================
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0    172.16.200.40  172.16.200.249       20
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
         172.16.200.0    255.255.255.0   172.16.200.249  172.16.200.249       20
       172.16.200.249  255.255.255.255        127.0.0.1       127.0.0.1       20
       172.16.255.255  255.255.255.255   172.16.200.249  172.16.200.249       20
            224.0.0.0        240.0.0.0   172.16.200.249  172.16.200.249       20
      255.255.255.255  255.255.255.255   172.16.200.249  172.16.200.249       1
      255.255.255.255  255.255.255.255   172.16.200.249               2       1
    Основной шлюз:       172.16.200.40
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

     

    На клиенте Firewall Client не установлен.

     

    Насчет заморочек с установкой сервера DNS с forward. Трудно мне это сейчас поднимать в производственной среде.

    Еще одно наблюдение. Если на серверах DNS в качестве шлюза указать маршрутизатор, а рне ISA, то проблема пропадает.

    26 января 2009 г. 6:34
  •  MikAndr написано:

     

    ipconfig /all:

     

    Настройка протокола IP для Windows

            Имя компьютера  . . . . . . . . . : acerao150
            Основной DNS-суффикс  . . . . . . :
            Тип узла. . . . . . . . . . . . . : смешанный
            IP-маршрутизация включена . . . . : нет
            WINS-прокси включен . . . . . . . : нет

    Беспроводное сетевое соединение - Ethernet адаптер:

            Состояние сети  . . . . . . . . . : сеть отключена
            Описание  . . . . . . . . . . . . : Atheros AR5007EG Wireless Network Ad
    apter
            Физический адрес. . . . . . . . . : 00-23-4D-9A-A8-9F

    Подключение по локальной сети - Ethernet адаптер:

            DNS-суффикс этого подключения . . :
            Описание  . . . . . . . . . . . . : Realtek RTL8102E Family PCI-E Fast E
    thernet NIC
            Физический адрес. . . . . . . . . : 00-1E-68-FE-73-86
            Dhcp включен. . . . . . . . . . . : нет
            IP-адрес  . . . . . . . . . . . . : 172.16.200.249
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . : 172.16.200.40
            DNS-серверы . . . . . . . . . . . : 172.16.200.18
                                                172.16.200.4

     

    route print:

     

    ===========================================================================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 23 4d 9a a8 9f ...... Atheros AR5007EG Wireless Network Adapter - ╠шэш
    яюЁЄ яырэшЁют∙шър яръхЄют
    0x3 ...00 1e 68 fe 73 86 ...... Realtek RTL8102E Family PCI-E Fast Ethernet NIC
    - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
    ===========================================================================
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0    172.16.200.40  172.16.200.249       20
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
         172.16.200.0    255.255.255.0   172.16.200.249  172.16.200.249       20
       172.16.200.249  255.255.255.255        127.0.0.1       127.0.0.1       20
       172.16.255.255  255.255.255.255   172.16.200.249  172.16.200.249       20
            224.0.0.0        240.0.0.0   172.16.200.249  172.16.200.249       20
      255.255.255.255  255.255.255.255   172.16.200.249  172.16.200.249       1
      255.255.255.255  255.255.255.255   172.16.200.249               2       1
    Основной шлюз:       172.16.200.40
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

     

    На клиенте Firewall Client не установлен.

     

    Насчет заморочек с установкой сервера DNS с forward. Трудно мне это сейчас поднимать в производственной среде.

    Еще одно наблюдение. Если на серверах DNS в качестве шлюза указать маршрутизатор, а рне ISA, то проблема пропадает.



    О чём и сказал Вам. В чём заключается сложность поднять на одном из серверов дополнительный DNS ?
    26 января 2009 г. 6:49
  •  MikAndr написано:

     

    ipconfig /all:

     

    Настройка протокола IP для Windows

            Имя компьютера  . . . . . . . . . : acerao150
            Основной DNS-суффикс  . . . . . . :
            Тип узла. . . . . . . . . . . . . : смешанный
            IP-маршрутизация включена . . . . : нет
            WINS-прокси включен . . . . . . . : нет

    Беспроводное сетевое соединение - Ethernet адаптер:

            Состояние сети  . . . . . . . . . : сеть отключена
            Описание  . . . . . . . . . . . . : Atheros AR5007EG Wireless Network Ad
    apter
            Физический адрес. . . . . . . . . : 00-23-4D-9A-A8-9F

    Подключение по локальной сети - Ethernet адаптер:

            DNS-суффикс этого подключения . . :
            Описание  . . . . . . . . . . . . : Realtek RTL8102E Family PCI-E Fast E
    thernet NIC
            Физический адрес. . . . . . . . . : 00-1E-68-FE-73-86
            Dhcp включен. . . . . . . . . . . : нет
            IP-адрес  . . . . . . . . . . . . : 172.16.200.249
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . : 172.16.200.40
            DNS-серверы . . . . . . . . . . . : 172.16.200.18
                                                172.16.200.4

     

    route print:

     

    ===========================================================================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 23 4d 9a a8 9f ...... Atheros AR5007EG Wireless Network Adapter - ╠шэш
    яюЁЄ яырэшЁют∙шър яръхЄют
    0x3 ...00 1e 68 fe 73 86 ...... Realtek RTL8102E Family PCI-E Fast Ethernet NIC
    - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
    ===========================================================================
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0    172.16.200.40  172.16.200.249       20
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
         172.16.200.0    255.255.255.0   172.16.200.249  172.16.200.249       20
       172.16.200.249  255.255.255.255        127.0.0.1       127.0.0.1       20
       172.16.255.255  255.255.255.255   172.16.200.249  172.16.200.249       20
            224.0.0.0        240.0.0.0   172.16.200.249  172.16.200.249       20
      255.255.255.255  255.255.255.255   172.16.200.249  172.16.200.249       1
      255.255.255.255  255.255.255.255   172.16.200.249               2       1
    Основной шлюз:       172.16.200.40
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

    А то же самое с ISA Server, как я просил?

     

    26 января 2009 г. 7:22
  • Для ISA.

    ipconfig /all:

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : Isa
       Основной DNS-суффикс  . . . . . . : домен.local
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : домен.local

    Local - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Физический адрес. . . . . . . . . : 00-0D-60-1C-80-14
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 172.16.200.6
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 172.16.200.18
                                           172.16.200.4

    Internet - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
       Физический адрес. . . . . . . . . : 00-0D-60-1C-80-15
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 79.143.71.146
       Маска подсети . . . . . . . . . . : 255.255.255.248
       Основной шлюз . . . . . . . . . . : 79.143.71.145
       DNS-серверы . . . . . . . . . . . : 172.16.200.18
                                           172.16.200.4
       NetBIOS через TCP/IP. . . . . . . : отключен

     

     

    route print:

     

    IPv4 таблица маршрута
    ===========================================================================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x10003 ...00 0d 60 1c 80 14 ...... Broadcom NetXtreme Gigabit Ethernet
    0x10004 ...00 0d 60 1c 80 15 ...... Broadcom NetXtreme Gigabit Ethernet #2
    ===========================================================================
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0    79.143.71.145    79.143.71.146     20
        79.143.71.144  255.255.255.248    79.143.71.146    79.143.71.146     20
        79.143.71.146  255.255.255.255        127.0.0.1        127.0.0.1     20
       79.255.255.255  255.255.255.255    79.143.71.146    79.143.71.146     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
         172.16.200.0    255.255.255.0     172.16.200.6     172.16.200.6     10
         172.16.200.6  255.255.255.255        127.0.0.1        127.0.0.1     10
       172.16.255.255  255.255.255.255     172.16.200.6     172.16.200.6     10
          192.168.0.0    255.255.255.0    172.16.200.55     172.16.200.6      1
            224.0.0.0        240.0.0.0    79.143.71.146    79.143.71.146     20
            224.0.0.0        240.0.0.0     172.16.200.6     172.16.200.6     10
      255.255.255.255  255.255.255.255    79.143.71.146    79.143.71.146      1
      255.255.255.255  255.255.255.255     172.16.200.6     172.16.200.6      1
    Основной шлюз:       79.143.71.145
    ===========================================================================
    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
          192.168.0.0    255.255.255.0    172.16.200.55       1

     

    26 января 2009 г. 10:45
  • Насчет DNS с forward. Не понял, что Вы предлагаете. Я вижу два варианта: 

    1. Установить DNS, который будет внешние запросы пересылать (куда?), и на котором в качестве вторичной зоны будет внутренний домен. Как будет работать тот сервер, куда я буду пересылать запросы. Через ISA или напрямую.

    2. Установить DNS, на который внутренние серверы пересылают внешние запросы. Опять же, как этот сервер будет работать: через ISA или напрямую.

     

    В общем же мне не понятно, что я этим добьюсь? Ведь и сейчас ясно, что напрямую разрешение работает, а через ISA имеются проблемы.

     

    Поэтому не совсем ясно, для чего и что нужно сделать?

     

    Михаил

    26 января 2009 г. 10:51
  •  MikAndr написано:

    Насчет DNS с forward. Не понял, что Вы предлагаете. Я вижу два варианта: 

    1. Установить DNS, который будет внешние запросы пересылать (куда?), и на котором в качестве вторичной зоны будет внутренний домен. Как будет работать тот сервер, куда я буду пересылать запросы. Через ISA или напрямую.

    2. Установить DNS, на который внутренние серверы пересылают внешние запросы. Опять же, как этот сервер будет работать: через ISA или напрямую.

     

    В общем же мне не понятно, что я этим добьюсь? Ведь и сейчас ясно, что напрямую разрешение работает, а через ISA имеются проблемы.

     

    Поэтому не совсем ясно, для чего и что нужно сделать?

     

    Михаил



    1) Установить DNS на сервере

    2) Подключить доменную зону как secondary

    3) Настроить forward на внешние DNS

    4) Основным шлюзом использовать маршрутизатор
    26 января 2009 г. 10:54
  •  

    1) Установить DNS на сервере

    2) Подключить доменную зону как secondary

    3) Настроить forward на внешние DNS

    4) Основным шлюзом использовать маршрутизатор

     

    Да, такая схема будет работать. Для этого не стоит ставить экспериментов. Ведь настроенные внутренние DNS с шлюзом маршрутизатором нормально разрешают имена. Так у меня сейчас реализовано, на время пока решается проблема с ISA.

     

    Но почему загвоздка возникает с ISA? Меня это беспокоит.

     

    Михаил

    26 января 2009 г. 11:00
  •  MikAndr написано:

     

    1) Установить DNS на сервере

    2) Подключить доменную зону как secondary

    3) Настроить forward на внешние DNS

    4) Основным шлюзом использовать маршрутизатор

     

    Да, такая схема будет работать. Для этого не стоит ставить экспериментов. Ведь настроенные внутренние DNS с шлюзом маршрутизатором нормально разрешают имена. Так у меня сейчас реализовано, на время пока решается проблема с ISA.

     

    Но почему загвоздка возникает с ISA? Меня это беспокоит.

     

    Михаил



    Внешний Шлюз  для ISA и маршрутизатора одинаковые ?
    26 января 2009 г. 11:03
  • Внешний шлюз (тот что у провайдера) один и тот же.

     

     

     

    26 января 2009 г. 11:08