none
dns RRS feed

  • Вопрос

  • Как правильно настроить днс при наличии двух сетевых интерфейсов. Первый интерфейс смотрит в 217.X.Y.0/24 в качестве шлюза используется маршрутизатор cisco 217.X.Y.111. Второй сетевой интерфейс используется для NAT (ряд приватных адресов 192.168.x.x )
    • Изменено Vector BCOModerator 16 октября 2019 г. 12:35 замена реальных ip на X.Y.
    16 октября 2019 г. 4:21

Все ответы

  • Как правильно настроить днс при наличии двух сетевых интерфейсов. Первый интерфейс смотрит в 217.X.Y.0/24 в качестве шлюза используется маршрутизатор cisco 217.X.Y.111. Второй сетевой интерфейс используется для NAT (ряд приватных адресов 192.168.x.x )
    Вы нам описываете примерно третий уровень модели OSI вашей сети(сетевой), а DNS работает на прикладном уровне(7) кто его знает как оно у вас там все устроено и какой ДНС для вас правильный... Сеть доменная? ДНС локальный присутствует? выбираете между какими вариантами прописывания  ДНС ?

    16 октября 2019 г. 5:18
  • сервер пересылки делаете вашу Cisco раз она шлюзом выступает.

    на сети 217 задаёте ip, mask, gateway, больше ничего, на втором ip, mask, dns локальный или собственный если он же контроллер домена.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    16 октября 2019 г. 8:02
  • На данный момент проблема заключается в следующем: днс запросы исходящие от компьютеров находящихся по адресам 217.X.Y.0/24 до сервера 217.X.Y.3 доходят, но ответа от днс сервера нету.

    nslookup показывает 

    ksc.mydomen.ru
    ╤хЁтхЁ:  UnKnown
    Address:  217.X.Y.3

    DNS request timed out.
        timeout was 2 seconds.

    При этом на компьютерах которые находятся за NATом  все работает так как задумывалось 

    nslookup

     ksc.mydomen.ru
    ╤хЁтхЁ:  SMORC.mydomen.ru
    Address:  217.X.Y.3

    ╚ь :     ksc.mydomen.ru
    Address:  217.X.Y.3



    16 октября 2019 г. 9:46
  • на "внешнем интерфейсе" прописываете внешние ДНС
    на "внутреннем интерфейсе" прописываете внутренние ДНС такой имеется.

    П.с. надюсь, сервер у Вас не контроллер домена.

    днс запросы исходящие от компьютеров находящихся по адресам 217.X.Y.0/24 до сервера 217.X.Y.3 доходят, но ответа от днс сервера нету.
    nslookup показывает
    ksc.mydomen.ru ╤хЁтхЁ:
    UnKnown Address: 217.X.Y.3
    DNS request timed out.
    timeout was 2 seconds.
    Вы уверены, что запросы доходят, а не блокируются фаерволом?

    16 октября 2019 г. 10:29
  • на интерфейсе прописывать днс не надо если это контроллер, внешние днс прописываете в серверах пересылки, прописываются только внутренние, опять таки если это не контроллер, если контроллер то какой, главный или вторичный или даже третичный, если главный то смотрит на себя и все.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    16 октября 2019 г. 11:25
  • на интерфейсе прописывать днс не надо если это контроллер, внешние днс прописываете в серверах пересылки, прописываются только внутренние, опять таки если это не контроллер, если контроллер то какой, главный или вторичный или даже третичный, если главный то смотрит на себя и все.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

          Расскажите, пожалуйста, что такое третичный контроллер?
    16 октября 2019 г. 11:27
  • на интерфейсе прописывать днс не надо если это контроллер, внешние днс прописываете в серверах пересылки, прописываются только внутренние, опять таки если это не контроллер, если контроллер то какой, главный или вторичный или даже третичный, если главный то смотрит на себя и все.
    пруф-линки есть?
    про *тичность контроллеров - без комментариев.

    • Изменено Anahaym 16 октября 2019 г. 11:47
    16 октября 2019 г. 11:46
  • На данный момент проблема заключается в следующем: днс запросы исходящие от компьютеров находящихся по адресам 217.X.Y.0/24 до сервера 217.X.Y.3 доходят, но ответа от днс сервера нету.

    nslookup показывает 

    ksc.mydomen.ru
    ╤хЁтхЁ:  UnKnown
    Address:  217.X.Y.3

    DNS request timed out.
        timeout was 2 seconds.

    При этом на компьютерах которые находятся за NATом  все работает так как задумывалось 

    nslookup

     ksc.mydomen.ru
    ╤хЁтхЁ:  SMORC.mydomen.ru
    Address:  217.X.Y.3

    ╚ь :     ksc.mydomen.ru
    Address:  217.X.Y.3

    сеть 217.X.Y.0/24 - предназначена для интернет ресурсов, если вы используете эту адресацию в локальной сети, будьте готовы, что как минимум хосты расположенные в интернете в этой сети работать у вас не будут, возможно еще и проблемы с маршрутизацией, смотря в каком сегменте сети сами ваши устройства расположены. Я к комментарию, что в этой сети есть какие-то устройства, к которым вы имеете доступ. Либо это выделенный вам белый участок сети, в который вы помещаете свои устроства... в общем не ясно.

    ТАк же не ясно какие из ДНС для прописывания Вам доступны?

    Публичный ДНС?

    ISP предоставил адрес ДНС?

    На Cisco, которая выступает шлюзом и которую советуют прописать как сервер пересылки(только не понятно на чем его прописывать) поднят ДНС?

    У вас есть доменная сеть с поднятым где-то ДНС?

    У вас одно ранговая сеть с поднятым где-то ДНС?


    16 октября 2019 г. 12:14
  • Выразился может некоректно, имеется ввиду сеть из трёх dc, почему третичный были схемы у некоторых кто делали dns dc01 - 127.x.x.x, dns dc02 - dc01, dc03, dns dc03-dc01, dc02; и по топологии назывался так, потому написал как может быть у них

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    16 октября 2019 г. 13:06
  • https://support.microsoft.com/ru-kz/help/323380/how-to-configure-dns-for-internet-access-in-windows-server-2003

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    16 октября 2019 г. 13:13
  • Как правильно настроить днс при наличии двух сетевых интерфейсов. Первый интерфейс смотрит в 217.X.Y.0/24 в качестве шлюза используется маршрутизатор cisco 217.X.Y.111. Второй сетевой интерфейс используется для NAT (ряд приватных адресов 192.168.x.x )
    и вообще не важно какой интерфейс куда смотрит, Винда использует всегда только один ДНС, который первый в списке на первой инициализированной сетевой карте, если этот ДНС НЕ ДОСТУПЕН, то использует следующий(ДНС доступен, но имя не возможно разрешить не является причиной использования другого ДНС).
    16 октября 2019 г. 13:31
  • https://support.microsoft.com/ru-kz/help/323380/how-to-configure-dns-for-internet-access-in-windows-server-2003

    Это настройка DNS на древнем сервере.
    Вот Вам более актуальная и подробная информация.

    и я, как и автор, спрашивал про настройку RAS и его интерфейсов

    и вообще не важно какой интерфейс куда смотрит, Винда использует всегда только один ДНС, который первый в списке на первой инициализированной сетевой карте
    А если карты инициализировались одновременно?
    А как быть с VPN сетевой картой, когда пользователь использует ДНС за ВПН?
    • Изменено Anahaym 16 октября 2019 г. 13:59
    16 октября 2019 г. 13:53

  • А если карты инициализировались одновременно?
    А как быть с VPN сетевой картой, когда пользователь использует ДНС за ВПН?

    Не знаю как такое возможно - одновременная инициализация, но у каждой карты все равно будет отличная друг от друга метрика и ДНС будет отрабатывать тот у кого она наименьшая. 

    У ВПН самая низкая метрика получится и все запросы пойдут через его ОДИН ДНС, он все равно в итоге будет один... тоесть все ресурсы разрешаемые локальным ДНС отвалятся, если они не указаны в ВПНовском ДНС, или их не осталось в кэше. Начиная с 8.1 есть технология Smart Multi-Homed Name Resolution (SMHNR), которая отправялет запрос на все известные ДНС и показывает тот, который пришел быстрее, но опять же разницы на каком интерфейсе был этот ДНС прописан нет...


    • Изменено Sergey2005 16 октября 2019 г. 15:02 Грамматика
    16 октября 2019 г. 14:58
  • вот еще что нагулил, про 10 я и не знал, что он так умеет

    В Windows 10 Creators Update (1709) и выше DNS запросы отправляются на все известные DNS сервера по порядку, а не параллельно. Вы можете увеличить приоритет конкретного DNS, если уменьшите его метрику.

    http://winitpro.ru/index.php/2019/06/05/ne-rabotaet-dns-pri-aktivnom-vpn/

    16 октября 2019 г. 15:03
  • У ВПН самая низкая метрика получится и все запросы пойдут через его ОДИН ДНС, он все равно в итоге будет один... 

    У меня метрика маршрутов через VPN больше чем через обычную сетевую карту.

    А вот такой пример:
    возьмём любой роутер, настройки WAN. Что будет, если на порту WAN не прописать ДНС, а у клиента ДНС-ом будет роутер?

    16 октября 2019 г. 15:45
  • Ну пройдите по алгоритму:

    1) ДНС-ом прописан ип роутера, там предположим есть ДНС сервер

    тогда запрос поступает на этот ДНС сервер

    В начале DNS-сервер опрашивает свой кэш(к примеру нет там записи)

    затем проверяет записи зон(там пусто, либо указана зона заглушка, что врядли для роутера такое где-то будет)

    отправляет запросы на пересылки(они не настроены)

    затем пытается выполнить разрешение имен используя корневые серверы(запрос разрешен)

    2) ДНС сервера там нет и на интерфейсе ВАН он тоже не прописан

    на этом конец запроса)



    16 октября 2019 г. 15:59

  • У меня метрика маршрутов через VPN больше чем через обычную сетевую карту.


    галку можно ставить, типа использовать ДНС локальный(или как она там называется, давно не настраивал), но опять же ОДИН будет использоваться..
    16 октября 2019 г. 16:00

  • 2) ДНС сервера там нет и на интерфейсе ВАН он тоже не прописан

    на этом конец запроса)

    У ТС вместо роутера Windows Server 2019 c двумя интерфейсами (WAN, LAN, NAT). DNS не известно, установлен ли или нет (ТС молчит как партизан). Предположим, что нет. Следовательно, не пропись ДНС, как писалось выше, приведёт к "концу запроса".

    Да, есть второй интерфейс, на котором будут прописаны доменные ДНС, но зачем мне отравлять внешение запросы на внутренний ДНС, при наличии тех самых внутренних ДНС?

    Именно поэтому, я прописываю:

    на "внешнем интерфейсе" прописываете внешние ДНС
    на "внутреннем интерфейсе" прописываете внутренние ДНС если такой имеется.
    всегда работает. Даже если где-то требуется контроллер домена сделать роутером, но там требуется донастройка.
    16 октября 2019 г. 16:27

  • У ТС вместо роутера Windows Server 2019 c двумя интерфейсами (WAN, LAN, NAT). DNS не известно, установлен ли или нет (ТС молчит как партизан). Предположим, что нет. Следовательно, не пропись ДНС, как писалось выше, приведёт к "концу запроса".

    с топик стартером не все понятно и с тем, что это ван тоже, меня смущает вот эта строчка топик стартера:

    днс запросы исходящие от компьютеров находящихся по адресам 217.X.Y.0/24 до сервера 217.X.Y.3 доходят

    что за компьютеры у него в этой сети??? следовательно что это за маршрутизатор??? есть ли на нем какой-то ДНС сервер(укороченный или любой...).. если ДНСом указать просто шлюз, то никакого эффекта не будет... 

    Вы пишите: 

    Да, есть второй интерфейс, на котором будут прописаны доменные ДНС, но зачем мне отравлять внешение запросы на внутренний ДНС, при наличии тех самых внутренних ДНС?

    Secondery DNS -это резервный ДНС на случай не работоспособности основного, он должен быть 1 к 1 с первым, поэтому все настройки по выходу в интернет прописываются на ДНС серверах обслуживаемых вашу локальную доменную зону пересылкой на ДНС сервер предоставленный ISP или публичный ДНС к примеру 8.8.8.8.  


    на "внешнем интерфейсе" прописываете внешние ДНС
    на "внутреннем интерфейсе" прописываете внутренние ДНС если такой имеется.

    всегда работает. Даже если где-то требуется контроллер домена сделать роутером, но там требуется донастройка.

    Если вы прописываете такую настройку, то у вас скорей всего ОС выше 8.1 и работает какой-нить Smart Multi-Homed Name Resolution (SMHNR), но даже в этом случае один из ДНС-ов, который не обслуживает зону в адрес которой был запрос может ответить быстрее того, что обслуживает и у вас к примеру страничка в интернете откроется с дырками, а именно с половиной картинок, потому что на вторую половину тупо не прилетит разрешения IP адресов. НУ и в случае выход из строя, или перезагрузки ДК ваша сеть просто станет... колом... 

    По пальцам можно перечислить случаи, когда можно прописать два разных ДНС... 

    16 октября 2019 г. 17:41
  • просто вот представьте алгоритм:

    две сетевые карты

    Одна смотрит в интернет, вторая в локальную сеть, пусть там поднят Нат. 

    на каждой прописаны свои ДНС сервера на той, что смотрит в интернет публичный днс 8.8.8.8, на той что смотрит во внутрь 192.168.1.1(предположим там ДК, или просто ДНС не важно)

    приходит запрос из браузера на сайт www.ya.ru

    и кто из этих двух ДНС должен разрешить Имя?

    пока имя не разрешено ПК не знает к какой сети принадлежит IP… поэтому маршрутизация(3 уровень модели ОСИ) тут не работает, а как ему тогда определить к какому из двух ДНС обратиться, какая разница для него на какой сетевой они прописаны?... поэтому тут и работает метрика... у кого меньше метрика, тот и главный, если он не доступен, то следующий по метрике...

    16 октября 2019 г. 18:13
  • "Это настройка DNS на древнем сервере.
    Вот Вам более актуальная и подробная информация."

    Кардинально все изменилось? в таком случае что будет делать ваш сервер, если служба днс поднялась с задержкой? как минимум забудет все внутренние днс записи что в свою очередь приведёт к неправильному получению GPO на конечные ПК (заметьте все выше я писал если dns & DC вместе), не знаю как у вас, но у нас групповые политики большие мы их не плодим и некоторые настройки системы или разрешений реализованы через reg, в которых присутствуют условия по определённым критериям, и если dc забыл на какое то время внутренние имена это не будет ГУД.

    теперь вернёмся к dns, при установлении на dc вторым или третьим адресом dns внешнего dns вы полагаетесь только на правильную работу windows и разработчиков Microsoft, потому что практика показала что такой вариант периодически приводит к тому что сервер начинает именно второй днс считывать, а не первый, про последствия которого я описал выше. поэтому советовал и буду советовать все внешние днс прописывать только в серверах пересылки для чего они и существуют, а в в адресах днс самого контроллера оставлять лишь его 127 и больше ничего если это хозяин леса, если второй и последующие контроллеры то первым днс обязателен dc01 (он же хозяин), вторым сам на себя т.е. 127, также и с dc03 и dcn. таким образом у ваш dc никогда не будет путать что такое dns т.к. он его или соседа по команде, а если что-то вдруг стало ему не понятно он обратиться к серверу пересылки для дальнейших разъяснений.

    "и я, как и автор, спрашивал про настройку RAS и его интерфейсов"

    а вот насчёт ras я вопроса не понял, каюсь, исправлюсь, как мне показалось автор спросил как настроить днс с двумя Lan смотрящих в разные сети.

    ну и собственно вопрос к автору, гадать долго будем? у вас это dc или просто служба dns поднята и есть ли контроллер домена еще с одним dns?


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    17 октября 2019 г. 2:35
  • А если проще поступить - на обоих картах прописать только внутренний DNS, таким образом он сможет разрешать запросы к узлам интрасети и пересылать (root hint, forwarder - не важно) запросы для интернета.
    17 октября 2019 г. 5:42
  • днс запросы исходящие от компьютеров находящихся по адресам 217.X.Y.0/24 до сервера 217.X.Y.3 доходят что за компьютеры у него в этой сети??? следовательно что это за маршрутизатор???

    Возможно у него компьютеры имеют белые адреса, и кодключены к фаерволу Cisco. А сервер, о котором вопрос, соединяет эту сеть с сетью из внутренних адресов. Зачем так - никто кроме автора не знает.

    Secondery DNS -это резервный ДНС на случай не работоспособности основного...

    я не про это. Это обычная конфигурация с одним NIC.

    Если вы прописываете такую настройку, то у вас скорей всего ОС выше 8.1

    Делаю так с WS 2003.

    НУ и в случае выход из строя, или перезагрузки ДК ваша сеть просто станет... колом...

    не станет. У нас же не один КД.

    пока имя не разрешено ПК не знает к какой сети принадлежит IP… поэтому маршрутизация(3 уровень модели ОСИ) тут не работает, а как ему тогда определить к какому из двух ДНС обратиться, какая разница для него на какой сетевой они прописаны?.
    согласен, но у автора к внешнему интерфейсу обращаются клиенты. Предполагаю, что его ДНС и должны обрабатывать запросы.
    17 октября 2019 г. 6:33
  • Кардинально все изменилось?

    за 10 лет? Ну а Вы как думаете?

    в таком случае что будет делать ваш сервер, если служба днс поднялась с задержкой?

    Он будет ждать службу ДНС.

    теперь вернёмся к dns, при установлении на dc вторым или третьим адресом dns внешнего dns вы полагаетесь только на правильную работу windows и разработчиков Microsoft

    Внешний ДНС на внутренней "доменной" сетевой карте? Вообще так не делаю...

    а в в адресах днс самого контроллера оставлять лишь его 127 и больше ничего если это хозяин леса
    Ещё раз.
    17 октября 2019 г. 6:40
  • НУ и в случае выход из строя, или перезагрузки ДК ваша сеть просто станет... колом...

    не станет. У нас же не один КД.

    в сетевой можно прописать только два ДНС, если один из них ДНС КД, а второй из них какой-то иной, не обслуживающий зону вашего домена, то при отсутствии этого единственного указанного в настройках клиента ДНС сеть станет...

    согласен, но у автора к внешнему интерфейсу обращаются клиенты. Предполагаю, что его ДНС и должны обрабатывать запросы.
    я возможно вас удивлю, но ДНС в опциях на маршрутизаторе не на одной из сетевых вообще не нужен, если этот маршрутизатор не ОС в доменной сети.
    17 октября 2019 г. 7:08
  • "Он будет ждать службу ДНС."

    сеть ждать не будет и служба клиента dns, то что сервер dns встал им по барабану.

    "Внешний ДНС на внутренней "доменной" сетевой карте? Вообще так не делаю..."

    тогда мы видимо не поняли друг друга, на внешней тоже не надо... все сделает пересылка

    еще раз dns настраивать умею, ссылка не о чем, вы хотите подчеркнуть то что первым нужно ставить другой днс и вторым на себя? раньше тоже так работало. отсюда повторюсь, многое изменилось в этом плане, работа днс стала кардинально другой?

    повторюсь речь шла о внешнем dns


    Идти туда, где не ждут, Атаковать там, где не подготовились.



    17 октября 2019 г. 7:22
  • Внесу немного ясности в структуру сети. Сейчас есть сервер который находится по адресу 217.71.132.3 , на нем подняты AD DNS DHCP NAT. И да сервер является контролером домена. На циске днс сервера нету. Нам просто дали несколько портов на ней. Пока dns сервер нужен что бы софт(1с, autocad,kaspersky, что-то еще) цеплялись к серверу лицензий по днс-имени. Делать сервер публичным, такой задачи пока нету. Так вот. Повторюсь. ДНС запросы с приватных адресов (192.168.x.x) сервером обрабатываются корректно. А с адресов 217.71.132.x (где и находится сам сервер), запросы до сервера доходят, но ответа нет. Пакеты отслеживал с помощью wireshark. 
    17 октября 2019 г. 7:25
  • в сетевой можно прописать только два ДНС, если один из них ДНС КД, а второй из них какой-то иной, не обслуживающий зону вашего домена, то при отсутствии этого единственного указанного в настройках клиента ДНС сеть станет...

    В сетевой можно больше двух DNS прописать.



    17 октября 2019 г. 7:28
  • в сетевой можно прописать только два ДНС, если один из них ДНС КД, а второй из них какой-то иной, не обслуживающий зону вашего домена, то при отсутствии этого единственного указанного в настройках клиента ДНС сеть станет...

    В сетевой можно больше двух DNS прописать.



    а да, сори, в дополнительно там все есть... просто больше двух не прописываю никогда. но даже там  они прописываются "в порядке использования"

    • Изменено Sergey2005 17 октября 2019 г. 7:32
    17 октября 2019 г. 7:31
  • в сетевой можно прописать только два ДНС

    больше, правда писали что до 3-го обычно дело не доходит.

    то при отсутствии этого единственного указанного в настройках клиента ДНС сеть станет...

    не понял, какого "единственного"?

    но ДНС в опциях на маршрутизаторе не на одной из сетевых вообще не нужен, если этот маршрутизатор не ОС в доменной сети

    снова не понял о чём речь... Вы про это:



    • Изменено Anahaym 17 октября 2019 г. 7:45
    17 октября 2019 г. 7:36
  • ссылка не о чем, то что было известно еще в windows server 2003

    тогда почему Вы этим не пользуетесь до сих пор???
    отсюда повторюсь, многое изменилось в этом плане, работа днс стала кардинально другой?
    в самом протоколе DNS изменения были, например введён DNSSEC. Так же поменялась работа клиента с DNS. Уже обсуждалось.
    17 октября 2019 г. 7:44
  • не понял, какого "единственного"?

    Если в настройках будет прописано два ДНС - один КД, второй к примеру Публичный, то не важно сколько КД в сети при падении прописанного сеть станет.

    но ДНС в опциях на маршрутизаторе не на одной из сетевых вообще не нужен, если этот маршрутизатор не ОС в доменной сети

    снова не понял о чём речь... Вы про это:



    да, днс на маршрутизаторе прописывать не надо. достаточно в настройках клиента прописать публичный.
    17 октября 2019 г. 7:55
  • Если в настройках будет прописано два ДНС - один КД, второй к примеру Публичный, то не важно сколько КД в сети при падении прописанного сеть станет.
    так прописано два. Какой из них падает? И выше я писал - никаких публичных ДНС в доменных сетевых картах. Был у меня случай, занимался исправлением одного домена, сделал всё как надо, всё работало. Тут приходит жалоба от программиста - нет доступа к локальным ресурсам (интернет был). Пошёл разбираться, а в ДНС он установил 8.8.8.8 ибо "быстрее работает" [не знаю как он мерил]. такие дела.
    да, днс на маршрутизаторе прописывать не надо. достаточно в настройках клиента прописать публичный.
    есть одно "но" - не все знают как прописывать ДНС, и многие используют DHCP, который будет указывать в качестве ДНС адрес роутера, а если там не прописано ДНС [в случае когда сам роутер не получает IP по DHCP], то что?
    Вот поэтому, чтобы исключить любые проблемы я прописываю на внешних интерфейсах роутеров внешние ДНС сервера. Ну а с внутренними и так понятно.
    17 октября 2019 г. 8:19
  • есть одно "но" - не все знают как прописывать ДНС, и многие используют DHCP, который будет указывать в качестве ДНС адрес роутера, а если там не прописано ДНС [в случае когда сам роутер не получает IP по DHCP], то что?
    Вот поэтому, чтобы исключить любые проблемы я прописываю на внешних интерфейсах роутеров внешние ДНС сервера. Ну а с внутренними и так понятно.

    я тоже всегда прописываю, и получая ИП по ДХЦП от провайдера там ДНС уже есть, хотя и без этого все будет работать, например вместо днс ISP в ДХЦП раздаваемом железкой можно прописать ДНС для детей, где все "плохие" сайты будут не доступны. Этот же ДНС так же можно просто на клиентах прописать... При этом в настройках WAN на роутере в строке ДНС будет пусто и все прекрасно будет работать.

    это речь про железку - роутер. а тут про ОС

    Вот топик стартер дополнил, что у него это и ДК и ДНС соответственно, так вот на этом компе без разницы на каком сетевом интерфейсе будет прописан ДНС. притом ДНСом надо указывать самого себя по доменному ИП, или вообще по лурбэк интерфейсу, а все остальные настройки делать уже на самом ДНС - добавлять днс пересылки, убирать коневую зону, разешать не авторизованные запросы, откуда можно обрабатывать запросы и и пр. Какие бы ДНС в сетевую не были бы вбиты сервер ДНС их проигнорит, если их нет в пересылке.

    (к сожалению нет прав на ДНС, не могу точно сказать какую кнопку там и где нажать, а тестовую машину поднимать только дома)

     

    17 октября 2019 г. 8:36
  • например вместо днс ISP в ДХЦП раздаваемом железкой можно прописать ДНС для детей, где все "плохие" сайты будут не доступны. Этот же ДНС так же можно просто на клиентах прописать... 

    Это частный случай. Вообще вариантов много.

    При этом в настройках WAN на роутере в строке ДНС будет пусто и все прекрасно будет работать.

    Не всё. Вот реальные примеры:
    - как роутер будет искать сервера, чтобы скачать обновление для себя?
    - как роутре разрешит имя NTP сервера?

    это речь про железку - роутер. а тут про ОС
    Железый роутер - это железка с ОС на борту.
    Вот топик стартер дополнил, что у него это и ДК и ДНС соответственно
    что-то я не вижу этого дополнения.... поэтому для меня этот сервер просто роутер.
    притом ДНСом надо указывать самого себя по доменному ИП, или вообще по лурбэк интерфейсу
    третья ссылка...
    • Изменено Anahaym 17 октября 2019 г. 9:46
    17 октября 2019 г. 9:41
  • "тогда почему Вы этим не пользуетесь до сих пор???"

    чем я не пользуюсь??? тем что не прописываю ip адреса внешних dns на контроллере или вообще, где кроме dns сервера пересылки??? потому что это правильно! что вас до сих смущает не пойму?

    "в самом протоколе DNS изменения были, например введён DNSSEC" причём тут dnssec? в этой ветке мы его обсуждаем? я спросил конкретно про работу днс как такового, что в нем изменилось кардинального что вы мне присылаете дважды ссылку про то что надо первым ставить ip dns потом loopback, но если у вас их более одного тогда сначала на себя о чем я писал выше, это написано в вашей же ссылке. не понимаю о чем спор идет???


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    17 октября 2019 г. 9:48
  • При этом в настройках WAN на роутере в строке ДНС будет пусто и все прекрасно будет работать.

    Не всё. Вот реальные примеры:
    - как роутер будет искать сервера, чтобы скачать обновление для себя?
    - как роутре разрешит имя NTP сервера?

    А мы сейчас говорим о работе роутера или о тех функциях, которые он выполняет? для маршрутизации ему ДНС не нужен. Если не будет ДНС прописан в ВАН интерфейсе, то на работу пользователей это не скажется. То, что он не сможет обновиться(сам) и захватить мир - дело третье.

    это речь про железку - роутер. а тут про ОС

    Железый роутер - это железка с ОС на борту.

    В этой железке укороченная версия ДНС, поэтому железка, которая работает не так, как работает ДНС ОС, в железке не настраиваются зоны, которые обслуживает этот ДНС, не настраиваются корневые ДНС не настраиваются .... продолжать?

    Вот топик стартер дополнил, что у него это и ДК и ДНС соответственно

    что-то я не вижу этого дополнения.... поэтому для меня этот сервер просто роутер.

    Вы можете игнорировать сообщения топикстартера в его теме, но если вы немного пролистаете эту полемику наверх, то увидите и его сообщение, хотя кому оно уже интересно, да?

    Внесу немного ясности в структуру сети. Сейчас есть сервер который находится по адресу 217.71.132.3 , на нем подняты AD DNS DHCP NAT.

    17 октября 2019 г. 10:02
  • вначале вы писали что на сервере две Lan, все так и осталось или уже что то изменили? т.е. две Lan 217 и 192, правильно? со 192 проблем и все работает? но 192 ничем не закрыта, а 217 Cisco правильно? DC видит обе сети без проблем? пингует во всех направлениях? ваша конфигурация сети какая?

    1. lan1-192.x.x.x/xx, gateway (есть или нет?), dns 127.0.0.1, 0.0.0.0 (верно или нет?)

    lan2-217.x.x.x/xx gateway Cisco, dns 127.0.0.1, 0.0.0.0 (верно или нет?)

    2. Cisco разрешает 53 tcp в сеть 217 и обратно?


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    17 октября 2019 г. 11:03
  • что вас до сих смущает не пойму?

    Вы утверждаете:

    в адресах днс самого контроллера оставлять лишь его 127 и больше ничего если это хозяин леса
    Что идёт вразрез с рекомандациями от MS.
    но если у вас их более одного тогда сначала на себя о чем я писал выше
    Эта ссылка касается любого количества КД.
    17 октября 2019 г. 11:27
  • А мы сейчас говорим о работе роутера или о тех функциях, которые он выполняет?

    работа руотера и его функции тесно переплетены [Я вообще их не разделяю].

    То, что он не сможет обновиться(сам) и захватить мир - дело третье.

    не сможет обновиться - не устранит уязвимости - будет взломан - атака на пользоватлей [а Вы говорите не влияет. Сейчас может и нет, но надо же планировать на перёд...]

    .... продолжать?
    не надо, ведь мы обсуждаем перенаправление запросов, которые может делать как и железка так и полноценный ДНС сервер.
    пролистаете эту полемику наверх, то увидите и его сообщение, хотя кому оно уже интересно, да?
    я почему-то пропустил это сообщение. Извиняюсь.
    Тогда у MS есть рекомендация по настрйоке контроллеров домена в нескольких сетях. А ДНС я оставил бы так же - внешние на внешнем, внутренние на внутреннем интерфейсе.
    17 октября 2019 г. 11:39
  • Повторюсь. ДНС запросы с приватных адресов (192.168.x.x) сервером обрабатываются корректно. А с адресов 217.71.132.x (где и находится сам сервер), запросы до сервера доходят, но ответа нет. Пакеты отслеживал с помощью wireshark. 

    с сервера из сети 217 выполните:

    nslookup microsoft.com 217.71.132.3
    telnet 217.71.132.3 53

    Я бы ещё прошёлся снифером по UDP портам. например с помощью NMAP.
    17 октября 2019 г. 11:42
  • работа руотера и его функции тесно переплетены [Я вообще их не разделяю].

    А я разделяю. и для того что бы заработала маршрутизация на роутере и что бы клиенты начали разрешать ДНС запросы на ВАН портах роутера не обязательно должен быть прописан ДНС, с этим Вы согласны?

    не сможет обновиться - не устранит уязвимости - будет взломан - атака на пользоватлей [а Вы говорите не влияет. Сейчас может и нет, но надо же планировать на перёд...]

    Я говорю сейчас про разрешение имен, а не про атаки, не про НТП, не про обновления, а про разрешение имен, и для разрешения имен клиенами ДНС прописывать на ВАН портах Роутера не обязательно! все зависит от настройки. Не надо все мешать в одну кучу.

    не надо, ведь мы обсуждаем перенаправление запросов, которые может делать как и железка так и полноценный ДНС сервер.

    Ок, вижу, что надо продолжать. Логика железки отличается от логики ДНС Сервера полноценного. В Железке ДНС Сервер перенаправляет запросы на ДНС сервера прописанные на ВАН интерфейсе, тогда как в ДНС ОС этого НЕ ПРОИСХОДИТ. В этом и разница - разные ДНС на ЖЕЛЕЗКЕ и ПОЛНОЦЕННЫЙ.


    Тогда у MS есть рекомендация по настрйоке контроллеров домена в нескольких сетях. А ДНС я оставил бы так же - внешние на внешнем, внутренние на внутреннем интерфейсе.

    И получили бы не управляемый снаряд, к такой настройке не хватает еще двух шлюзов, один в одну сеть, а второй во вторую....

    17 октября 2019 г. 11:47
  • Configure network adapters on this DNS server to use the loopback address (127.0.0.1, 0:0:0:0:0:0:0:1, or ::1) as one of the DNS servers, but not as the first DNS server on the list. If the loopback address is configured as the first DNS server, then configure another DNS server first.

    ваша ссылка? вроде все чётко, если не один кд то первым 127, я это и писал вначале автору.

    если у вас один кд то какой днс вы ему хотите прописать я не пойму в первом днс? лишь бы чей только не его?


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    17 октября 2019 г. 11:54
  • и что бы клиенты начали разрешать ДНС запросы на ВАН портах роутера не обязательно должен быть прописан ДНС, с этим Вы согласны?

    Да, согласен. Но только при условии, что у клиента прописан публичный [или верно настроенный доменный] DNS. Если же прописать DNS на WAN порту, шансов на работу интернета [разрешение имён] будет больше. Не так ли?

    Я говорю сейчас про разрешение имен,

    Так и про разрешение имён. К примеру, роутер захочет загрузить обновление с ftp:// ftp.dlink. ru и как ему быть без DNS то? Да, Вы настроили интернет для пользователей, но не всё работает в Вашей сети.

    тогда как в ДНС ОС этого НЕ ПРОИСХОДИТ

    ещё как происходит. Всё зависит от настроек.

    И получили бы не управляемый снаряд
    ну не знаю. Я в одной компании настроил - всё работает, всё управляется.
    • Изменено Anahaym 17 октября 2019 г. 13:01
    17 октября 2019 г. 12:48
  • ваша ссылка? вроде все чётко, если не один кд то первым 127, я это и писал вначале автору.

    Перевод написанного на русский:

    Настройте сетевые адаптеры на этом DNS-сервере на использование loopback адреса (127.0.0.1, 0:0:0:0:0:0:0:1, или:: 1) как один из DNS-серверов, но не как первый DNS-сервер в списке. Если loopback адрес настроен как первый DNS-сервер, то настройте другой DNS-сервер первым.
    если у вас один кд то какой днс вы ему хотите прописать я не пойму в первом днс? лишь бы чей только не его?

    Так понятно?


    17 октября 2019 г. 12:59
  • Да, согласен. Но я привёл примеры, но только при условии, что у клиента прописан публичный [или верно настроенный доменный] DNS. Если же прописать DNS на WAN порту, шансов на работу интернета [разрешение имён] будет больше. Не так ли?

    Да, все верно, на железном роутере это надо прописывать по ряду причин, но можно обойтись и без этой настройки, все так же будет работать у пользователей.

    Так и про разрешение имён. К примеру, роутер захочет загрузить обновление с ftp:// ftp.dlink. ru и как ему быть без DNS то? Да, Вы настроили интернет для пользователей, но не всё работает в Вашей сети.

    Я не говорю про разрешение имен самим ЖЕЛЕЗНЫМ роутером, я говорю про разрешение имен клиентами, которые за ним стоят, им начхать на эту настройку, как и в случае с ситуацией топик стартера - начхать пользователям что там настроено...

    тогда как в ДНС ОС этого НЕ ПРОИСХОДИТ

    ещё как происходит. Всё зависит от настроек.

    Вот Вы сами же это пишите! видите разницу? Если в железном роутере достаточно прописать ДНС на ВАН порте, то  ОС ДНС эту настройку на сетевой карте игнорирует и ему нужно зайти в настройки и явным образом указать ДНС ПЕРЕСЫЛКИ! Я об этом и говорю, а вы только подтверждаете.

    Если бы Железный РОУТЕР по своей логике работы с ДНС работал так же как и Полноценный работает с ОС, тогда эту настройку ПОЛНОЦЕННЫЙ так же брал бы из настройки сетевой карты, но этого не происходит. Ему начхать что там прописано в сетевой, а вот что в адресах пересылки нет... Я и говорю, что не важно что прописать на этой сетевой, которая смотрим во внешку, ДНС этого не учтет! тогда как ДНС ЖЕЛЕЗНОГО Роутера это учитывает!

    ну не знаю. Я в одной компании настроил - всё работает, всё управляется.

    Объясните тогда логику, по которой ОС выбирает ДНС через который будет разрешать запросы?

    я уже писал про инициализацию, метрику, 7 уровень и пр... как видится механизм разрешения имен Вам?

    17 октября 2019 г. 13:09
  • @Alex (автор), вас не напрягает публикование публичных ip на общедоступном форуме? Это слегка не лучшая практика, и мне не сильно интересно править пару сотен ваших сообщений и цитат ваших сообщений в этом треде

    Упростите мне жизнь пожалуйста, и скрывайте публичные адреса по возможности. Написав это сообщение я уже подписался на пару десятков уведомлений в день о новом ответе в треде


    The opinion expressed by me is not an official position of Microsoft

    17 октября 2019 г. 14:17
    Модератор
  • Да, все верно, на железном роутере это надо прописывать по ряду причин, но можно обойтись и без этой настройки, все так же будет работать у пользователей.

    Ещё раз повторюсь: варианты настроек - разные. Но при указании DNS на WAN порту роутера шансы на сбои [как на пример с dlink {ниже объясню почему это важно}] уменьшаются.

    Я не говорю про разрешение имен самим ЖЕЛЕЗНЫМ роутером, я говорю про разрешение имен клиентами

    Клиенты сети, это не только пользовательские компьютеры, но любое другое сетевое оборудование. Если я настриваю сеть, то я делаю так, чтобы всё работало, а не только клиентские компьютеры. Вот почему мне важно обновить условный dlink. И я сделаю это, а Вы же будете траблешутить проблему, почему условный dlink не может скачать обновления. Другими словами, я стараюсь исключить появления любых проблем в сети.

    то ОС ДНС эту настройку на сетевой карте игнорирует и ему нужно зайти в настройки и явным образом указать ДНС ПЕРЕСЫЛКИ!
    Видимо у нас недопонимание. Возмьте свой ОС ДНС, удалите в настройках сетевой карты все ДНС адреса, и попробуйте просто пропинговать с ОС ДНС какой-нить хост в интернете. Какой ответ Вы получили?
    17 октября 2019 г. 14:29
  • Ещё раз повторюсь: варианты настроек - разные. Но при указании DNS на WAN порту роутера шансы на сбои [как на пример с dlink {ниже объясню почему это важно}] уменьшаются.

    Еще раз повторюсь: указание ДНС на ВАН порту роутера - не является обязательным для разрешения доменных имен клиентами за ними. Мы обсуждаем сейчас не то, куда вы пытаетесь увести тему разгвора, а протую функцию разрешения имен. Еще раз без обновлений роутера, нтп серверов и хакерских атак, без них, только Разррешение имен через ДНС. 

    Клиенты сети, это не только пользовательские компьютеры, но любое другое сетевое оборудование. Если я настриваю сеть, то я делаю так, чтобы всё работало, а не только клиентские компьютеры. Вот почему мне важно обновить условный dlink. И я сделаю это, а Вы же будете траблешутить проблему, почему условный dlink не может скачать обновления. Другими словами, я стараюсь исключить появления любых проблем в сети.

    Причем тут то, как вы настраиваете сеть? причем тут обновления прошивок? Это к обсуждаемой теме никак не относится. Мы говорим про логику работы разрешения имен в сети и вы как раз не пытаетесь исключить проблемы, той настройкой, что вы делаете вы только усугубляете ситуацию, что грозит появлением разных проблем в сети. Еще раз повторюсь разрешение имен ДНС далеко не всегда требует наличия ДНС на ВАН сетевой карты, а иногда и вовсе быть там не должно.

    Видимо у нас недопонимание. Возмьте свой ОС ДНС, удалите в настройках сетевой карты все ДНС адреса, и попробуйте просто пропинговать с ОС ДНС какой-нить хост в интернете. Какой ответ Вы получили?

    По ИП я его пропингую без проблем, а по ДНС нет. Но зачем это делать? В данном контексте ОС с ДНС будет являться хостом, на котором не прописан ни один ДНС, а это не правильно, на хосте, которому требуется разрешать ДНС адреса должен быть прописан ДНС.

    Так все-таки жду от вас ответа по логике, по которой ОС выбирает ДНС через который будет разрешать запросы. Мне очень интересно послушать вашу версию, разговор я вот один раз настроил и оно заработало не серъезный и я выше объяснял почему это произошло и через кукую пятую точку будет работать...

    в общем жду вашего видения.  

    17 октября 2019 г. 14:49
  • указание ДНС на ВАН порту роутера - не является обязательным для разрешения доменных имен клиентами за ними.

    я не говорю, что это обязательно. Я говорю - с этим проблем будет меньше.

    По ИП я его пропингую без проблем, а по ДНС нет. Но зачем это делать?

    Вы никогда не пингуете по ДНС? а как же это:

    Еще раз без обновлений роутера, нтп серверов и хакерских атак, без них, только Разрешение имен через ДНС


    что вы делаете вы только усугубляете ситуацию, что грозит появлением разных проблем в сети

    Как раз наоборот. Примеры я уже показал.

    Так все-таки жду от вас ответа по логике, по которой ОС выбирает ДНС через который будет разрешать запросы.

    Вы сами писали логику:

    В Windows 10 Creators Update (1709) и выше DNS запросы отправляются на все известные DNS сервера по порядку, а не параллельно.
    Я не против того, что Вы говорите. Это всё правильно. Я лишь говорю, что в некоторых случаях указать внешний ДНС на внешнем интерфейсе может помочь в решении некоторых проблем. Почему бы это не сделать сразу?
    17 октября 2019 г. 15:37
  • я не говорю, что это обязательно. Я говорю - с этим проблем будет меньше.

    если в конкретной ситуации топик стартер пропишет внешний ДНС, то проблем может стать наоборот больше в будущем.

    По ИП я его пропингую без проблем, а по ДНС нет. Но зачем это делать?

    Вы никогда не пингуете по ДНС? а как же это:

    Конечно я пингую по FQDN, как иначе

    Еще раз без обновлений роутера, нтп серверов и хакерских атак, без них, только Разрешение имен через ДНС


    что вы делаете вы только усугубляете ситуацию, что грозит появлением разных проблем в сети

    Как раз наоборот. Примеры я уже показал.

    Топик про роутер на ОС, а на нем совсем другая логика работы ДНС, отличная от железной, об этом я и говорю, что нет технической потребности прописывать явным образом внешний ДНС на ВАН порту для разрешения имен клиентами, ее просто нет. Нет ее ни в железном роутере и уж тем более не должно быть такой настройки на сетевой роутера в ОС.

    Так все-таки жду от вас ответа по логике, по которой ОС выбирает ДНС через который будет разрешать запросы.

    Вы сами писали логику:

    В Windows 10 Creators Update (1709) и выше DNS запросы отправляются на все известные DNS сервера по порядку, а не параллельно.


    Я не против того, что Вы говорите. Это всё правильно. Я лишь говорю, что в некоторых случаях указать внешний ДНС на внешнем интерфейсе может помочь в решении некоторых проблем. Почему бы это не сделать сразу?

    в некоторых он должен быть обязательно, а в некоторых не должен, вот у топик стартера в настройках ВАН на сетевой карте в ОС внешнего ДНС сервера прописано быть не должно... а он должен быть прописан в серверах пересылки на самом ДНС сервере.
    17 октября 2019 г. 16:26

  • Вы сами писали логику:

    В Windows 10 Creators Update (1709) и выше DNS запросы отправляются на все известные DNS сервера по порядку, а не параллельно.


    судя по топику эта штука начала работать с мая 2019 года в вин 10, я бы еще эту инфу где-то уточнил, например что он делает, если первый ДНС ответил, что такого ресурса не существует... это ведь тоже ответ... 
    17 октября 2019 г. 16:32
  • если в конкретной ситуации топик стартер пропишет внешний ДНС, то проблем может стать наоборот больше в будущем.

    вот у топик стартера в настройках ВАН на сетевой карте в ОС внешнего ДНС сервера прописано быть не должно... 
    примеры проблем назовите пожалуйста. Вы же ведь не просто так написали это, а есть какие то примеры, почему там недолжно быть никаких ДНС.
    Топик про роутер на ОС, а на нем совсем другая логика работы ДНС
    логика проста: есть ДНС - разрешаются имена, нет ДНС - не разрешаются.
    И не важно, роутер это или DNS-сервер.
    17 октября 2019 г. 16:40
  • примеры проблем назовите пожалуйста. Вы же ведь не просто так написали это, а есть какие то примеры, почему там недолжно быть никаких ДНС.


    я уже приводил примеры - рваные страницы- без половины картинок. Если по какой-то причине второй прописанный ДНС станет основым, то минус этот пк в доменной сети, возможно еще что-то, первое что пришло на ум. 

     

    Топик про роутер на ОС, а на нем совсем другая логика работы ДНС

    логика проста: есть ДНС - разрешаются имена, нет ДНС - не разрешаются.
    И не важно, роутер это или DNS-сервер.

    я скажу больше: имеет указанный ДНС возможность разрешить - разрешается, не имеет - не разрешается. И важно как эта возможность настраивается на роутере и на ДНС сервере. в одном месте настройкой сетевого адаптера, а во втором настройкой пересылке в самом ДНС. Поэтому в железном роутере мы можем писать ДНС на ВАН порту, что бы пробросить его в ДНС сервер на железке, а в ОС мы так делать не можем... 

    17 октября 2019 г. 17:15
  • Сергей, Anahaym, вам не интересна проблема автора? Вы обсуждаете подходы настройки компонентов связанных с вопросом но вопрос не решающих. Из того что мне кидается в глаза вы перешли в режим чата

    Такие лонг риды сложно прочесть и понять в чем же соль и по хорошему стоило бы такой топик разделить, но от этого с сутью станет еще "веселее"

    Пожалуйста давайте направлять внимание на проблему автора описанную в первом топике

    Это нормально что рекоммендации разняться

    Автор в праве и в силах выбрать тот вариант который ему больше подойдет


    The opinion expressed by me is not an official position of Microsoft

    17 октября 2019 г. 17:25
    Модератор
  • я скажу больше: имеет указанный ДНС возможность разрешить - разрешается, не имеет - не разрешается

    Если ДНС не может разрешать адреса, то, извините, это не ДНС. А Вы же, когда назначаете ДНС, должны понимать какие сервера назначаете, а не абы какие. Поэтому и были рваные страницы - тот ДНС был настроен через одно место. Был бы на его месте нормальный ДНС - никаких рваных страниц не было бы.

    Если по какой-то причине второй прописанный ДНС станет основым

    Есть одно но, которое Вы почему-то не учли: даже если у автора, по каким-то причинам на его сервере основном ДНС станет ДНС с внешней сетевой карты, то это никак не отразится на клиентах. Потому что у внутренних клиентов прописан внутренний адрес сервера из сети 192. Они как обращались к нему, так и продолжат обращаться, а он уже будет форвардить запросы на внешние ДНС, указанные в форвардах. 

    Повторяю в очередной раз: всё что я писал выше, касается настройки для всей сети, а не только для клиентов. Не делаю работу на половину.............

    17 октября 2019 г. 17:35
  • Пожалуйста давайте направлять внимание на проблему автора описанную в первом топике

    Ок. Sergey2005 спасибо за дискуссию. Ждём автора.
    Повтор моих вопросов:

    с сервера из сети 217 выполните:

    nslookup microsoft.com 217.xxx.xxx.3

    telnet 217.xxx.xxx.3 53

    Я бы ещё прошёлся снифером по UDP портам. например с помощью NMAP.

    Хотя, я могу и из дома это проверить...
    • Изменено Anahaym 17 октября 2019 г. 17:38
    17 октября 2019 г. 17:38
  • с сервера из сети 217 выполните:

    nslookup microsoft.com 217.xxx.xxx.3

    telnet 217.xxx.xxx.3 53

    Я бы ещё прошёлся снифером по UDP портам. например с помощью NMAP.

    Хотя, я могу и из дома это проверить...

    Сканирование показало, что у Вас закрыты 53 порты (TCP&UDP), поэтому DNS и не отвечает:

    >nslookup microsoft.com 217.ччч.ччч.3
    DNS request timed out.
        timeout was 2 seconds.
    Server:  UnKnown
    Address:  217.ччч.ччч.3
    
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Request to UnKnown timed-out

    Вам надо смотреть настройки Firewall и разрешить TCP&UDP порт 53. Так же посмотрите, разрешает ли Ваш доменный ДНС отвечать на запросы с внешнего интерфейса [по умолчанию разрешает]. На данном примере один интерфейс [192.168.10.21] исключён:


    17 октября 2019 г. 18:40

  • Сканирование показало, что у Вас закрыты 53 порты (TCP&UDP), поэтому DNS и не отвечает:

    Чекнул Nmap'ом 53 порт (TCP&UDP) с 217.ччч.ччч.202

    53 tcp open domain

    53 udp closed domain

    На всякий случай проверил с пк которые находятся в 192.168.ч.ч

    53 udp open domain

    53 tcp open domain

    На сервере правила в брандмауэре включены

    DNS(TCP, входящие) служба DNS разрешить

    DNS(UDP, входящие) служба DNS разрешить

    Внимание вопрос! Как такое может быть? На один сетевой интерфейс правило применяется, на другой нет? ИЛИ может быть проблема в шлюзе который блочит UDP пакеты на 53 порту?  

    19 октября 2019 г. 5:05
  • Alex, возможно я упустил этот момент но если вас не затруднит проясните вопрос зачем вы интернету хотите рассказать про структуру вашей внутренней сети?

    чем условному Николаю из US или Китая важна информация о том что сервер buhgalteria.domain.local имеет IP 192.168.1.2?

    Тем более что этот адрес 192.168.1.2 из сети Николая будет вести совсем не на сервер buhgalteria.domain.local

    В фаерволе есть 3 типа правил (области применения правил), один из которых это доменный профиль, 1 емнип приватный и 1емнип публичный - в свойствах правила это видно

    + порты по которым часто происходят атаки часто блочат по стороне провайдера и dns один из таких портов


    The opinion expressed by me is not an official position of Microsoft

    20 октября 2019 г. 8:13
    Модератор