none
windows 2003 網域控制站and dns dhcp問題 RRS feed

  • 問題

  • 想請各位大大幫忙一下
    有一個問題
    最近架大陸的服務器,先說一下:
    有防火牆不開dhcp,windows2003服務器接在內部,開啟ad、dhcp、dns服務
    原先未改變時可以上網,但等到主機加入ad、dns、dhcp後,很奇怪就沒辦法開啟網頁ping也ping的到外部的dns
    更奇怪的是我打網址只要是非微軟的網站,通通都可以,唯獨微軟的網站不行
    但其他電腦未加入網域的都可以,透過NSLOOKUP去查詢當地提供的dns也可以,查詢微軟的網址也有反查
    接下來就真的無解的奇怪,好像改變為網域模式後,網址就沒辦法查詢,可是dns可以正常查詢
    可以請大大幫忙一下
    2009年3月30日 上午 01:37

解答

所有回覆

  • 在DC主機上查詢DNS 是否正常呢?
    DC主機的DNS服務有設定Forward 其他DNS至當地ISP的DNS主機嗎?
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月30日 上午 02:54
    版主
  • 已有設定轉寄ISP查詢
    在其他加入網域主機查詢nslookup查詢的到外部主機
    連查詢微軟網址都可以查到IP,但就算打上IP也連不到
    可是我打其他網址如google 或 hinet都可以連的到
    就微軟的連不上奇怪
    假設
    主機IP 192.168.1.200
    遮罩:255.255.255.0
    預設閘道:192.168.1.1
    DNS:192.168.1.200
    而DHCP範圍:192.168.1.10~192.168.1.100
    伺服器選項:003路由設定:192.168.1.1 005名稱伺服器設為:192.168.1.200 006DNS設為 192.168.1.200 032路由器請求位址:192.168.1.1
    DNS服務設定:請求介面為:192.168.1.200 轉寄站為:ISP DNS IP如台灣 168.95.1.1

    防火牆的設定
    預設閘道:192.168.1.1
    遮罩:255.255.255.0
    沒有設路由

    想請教內部網路有防火牆,而DNS跟DHCP都是內部主機再做,我有把DHCP預設閘到設在防火牆
    防火牆的DHCP已關閉,也設中繼為主機端192.168.1.200
    以上這樣是否哪裡有錯
    2009年3月30日 上午 05:20
  • 有比較過加入網域跟未加入的電腦,
    在網路設定上有何差別嗎?
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月30日 上午 06:18
    版主
  • 比較過差異
    再沒有加入網域的電腦查詢DNS
    nslookup
    查詢到的是外部DNS IP(如221.12.1.228,名稱也有),但已加入網域的電腦查詢DNS是內部的主機IP 192.168.1.200 與內部DNS名稱
    看情形好像是DNS有問題
    我的主機設定:
    DNS包含反查,建立網域名稱如abc.com.cn.local
    轉察有設外部ISP DNS IP
    2009年3月30日 上午 06:46
  • 我查了老半天
    真得很奇怪就微軟網頁打不開不知道為什麼
    大大門幫忙阿
    2009年3月30日 上午 08:43
  • 蘇老您好
    我在想一個問題
    請問會不會是因為中國大陸網路
    不讓服務器查詢所造成,如果DNS設定轉寄查詢外部ISP DNS
    所以會變成DNS 與DNS之間溝通,有可能嗎
    ISP拒絕我的主機
    2009年3月30日 上午 09:48
  • 我上個月才去過中國廈門協助朋友架設AD環境,
    DNS也是設定forward 到當地ISP 的DNS 主機,
    並沒有發生任何的問題。

    而且ISP 都提供DNS 資訊給申請用戶設定,
    就不可能去限制你的DC 主機向該ISP 的DNS 主機查詢,
    應該沒這麼多美國時間在回傳資料前,
    還先去瞭解來查的機器用途是什麼。

    再試試看用Tracert 比較有無差異。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月30日 上午 11:49
    版主
  • 剛從台灣連到朋友在廈門的AD主機測試及檢查了一下,
    當地ISP為中國電信,所以其他的DNS Domain是優先forward 到218.85.157.99,
    再來才到HiNet的168.95.1.1及168.95.192.1,
    然後microsoft 網域底下的網站都很正常。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月30日 下午 01:02
    版主
  • 蘇老怎麼辦
    可是我看了老半天
    就是不知道哪裡還該檢察
    可以的話告知我一下好嗎?我還在查真的微軟網頁都打不開
    如果可以也可以讓你連線查看一下,真的好奇怪
    我打其他網址就可以
    另外一提那邊裝的防火牆是中興宙斯,不過我看其實是fortigate 60B
    也沒設甚麼防火牆LAN對WAN都是OPEN ALL,我沒有申請網域,只是做內部查詢,外部還是要到外部查詢

    懇請大大幫忙
    2009年3月30日 下午 01:28
  • 蘇老不知道能不能幫我看一下,我貼上擷取圖片給你看一下
    http://cid-ca8c15ab37e1044c.skydrive.live.com/self.aspx/.Public/DNSDHCP.bmp 

    http://cid-ca8c15ab37e1044c.skydrive.live.com/self.aspx/.Public/%e6%a1%8c%e9%9d%a22.bmp

    http://cid-ca8c15ab37e1044c.skydrive.live.com/self.aspx/.Public/%e7%b6%b2%e9%a0%81%e6%a1%8c%e9%9d%a2.bmp

    想放大還可以再點
    第一張圖片是DNS 跟 DHCP
    第二張圖片是防火牆
    第三張圖面是開啟網頁的狀況
    就唯獨微軟的不行很奇怪
    那邊的DNS IP是 221.12.1.228
    謝謝啦
    2009年3月31日 上午 01:49
  • 如果可以的話,
    能大概貼一下你的DNS 設定截圖嗎?
    還有nslookup 微軟網站的截圖?

    有測試過不用那個中興宙斯防火牆(山寨版Fortigate!?),
    而改用一般的IP分享器做NAT動作嗎?
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月31日 上午 02:00
    版主
  • 有我已上傳圖片到網路上 上面回復有網址 請幫幫忙看一下
    2009年3月31日 上午 02:33
  • 你的forward 設定應該有錯,
    應該是選擇「所有其他DNS 域」,
    然後新增你的DNS IP設定,這樣就完成了。


    另外,你可能要再確認一下 221.12.1.228 的DNS 是有開放你那邊的網路做查詢,
    因為我在台灣這邊測的狀況是被拒絕查詢的。

    再來,如果截圖來源是你的DC主機,
    那麼在IP設定上,應該把DNS指向自己,
    (127.0.0.1或192.168.1.200 都可以,我個人都使用127.0.0.1)。
     
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月31日 上午 03:26
    版主
  • 謝謝蘇老的幫助
    不過現在我比較好奇的是如果是大陸那邊的 DNS IP不讓我查詢
    是不是要提出申請
    好比台灣跟中華電信申請一樣
    其他說到的部份我改改看
    2009年3月31日 上午 05:01
  • 請問一下蘇老
    向您說的,向對方DNS主機查詢
    所以一般XP電腦可以向DNS查詢
    但DNS對DNS就必須確認信任要求是嗎
    2009年3月31日 上午 05:30
  • 請問一下蘇老
    向您說的,向對方DNS主機查詢
    所以一般XP電腦可以向DNS查詢
    但DNS對DNS就必須確認信任要求是嗎

    另外剛剛我有改過您所提的還是一樣
    還有在第一張圖中
    我有用nslookup去查詢www.microsoft.com.cn
    DNS有回應,可以幫我看一下嗎,這樣是不是對方接受查詢
    傷腦精
    2009年3月31日 上午 05:31
  • 有試過連到http://www.microsoft.com嗎?因為中國微軟的正確網址應該是http://www.microsoft.com/zh/cn/default.aspx
    我用nslookup 查詢www.microsoft.com.cn 的結果跟你是一樣的。
     

    如果大陸那邊的ISP不給你查詢,用nslookup就會像下面這張圖:

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月31日 上午 06:54
    版主
  • 蘇老.....
    我查詢過也是通的,但就是查不出為何連結微軟網站都會失效
    但打其他網址都可以
    如果蘇老有空有興趣肯連線看看,可以給我電子郵件嗎,我再發IP 與帳號密碼  他是用遠端連線的
    哀...無奈
    下面是查詢的結果
    -----------------------------------

    Microsoft Windows [版本 5.2.3790]
    (C) 版权所有 1985-2003 Microsoft Corp.

    C:\Documents and Settings\Administrator>nslookup
    Default Server:  server1.wanshunda.com.cn.local
    Address:  192.168.1.200

    > server 221.12.1.228
    Default Server:  hzdns.zjnetcom.com
    Address:  221.12.1.228

    > www.microsoft.com.cn
    Server:  hzdns.zjnetcom.com
    Address:  221.12.1.228

    Non-authoritative answer:
    Name:    www.microsoft.com.cn.wanshunda.com.cn.local
    Address:  220.250.64.20

    2009年3月31日 上午 07:17
  • 蘇老...
    看樣子好像內部的DNS沒辦法向外查詢
    因為查詢都會出現non-authoritative answer
    這不是都只是查詢內部嗎
    奇怪

    2009年3月31日 上午 07:43
  • 會出現「non-authoritative answer」,
    代表你這筆查詢是從快取讀出資料。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月31日 上午 08:57
    版主
  • 我已設外部查詢了
    可是就是不知道為何都是一職查詢內部的DNS
    蘇老給點意見

    2009年3月31日 上午 09:08
  • 蘇老....
    有空嗎..最後一個問題了
    我將網域退回成工作站,NSLOOKUP再去查詢DNS
    結果居然只要是打微軟的網址
    後面都會加上我先前的域名
    之前還是網域服務時,每次查詢微軟網址後面也都會自動再加上 com.cn.local
    我想問題可能在我的主機吧
    可以幫我想想嗎

    2009年3月31日 上午 10:51
  • 會被加上DNS尾碼的原因可以參考這篇在TWNIC的文章:關於"附加尾碼"之說明及設定
    如果要針對網域內的所有電腦作修改,
    可以參考這篇文章:nslookup 查詢DNS記錄異常
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月31日 下午 12:26
    版主
  • 蘇老.....
    不好意思一直詢問,感謝感謝
    您上面說到的我先前都有看過也處理過了,確實尾碼會影響
    但最後得到的結果..除了微軟網站打不開其他都可以
    稍微注意一下發現
    大陸用的系統當然是簡體版 WIN2003SE
    但只要一變更到網域,系統服務有兩個就被鎖定
    Automatic Updates
    Background Intellige
    上面兩個都被禁用
    我試圖去打開服務,將服務改為自動與啟用,但仍然無法連到微軟網站
    重開機後檢查服務又自動還原到禁用
    所以問題因該在此吧,只是好像沒有方式可以改變
    不知道蘇老知不知道
    太感謝蘇老
    2009年4月1日 上午 02:24
  • 我擔心是你的AD主機中毒了,
    參考看看這篇在ZDNet Taiwan 的新聞:Conficker蠕蟲可能源自中國
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已提議為解答 Vincent Lin 2009年4月6日 上午 01:56
    • 已標示為解答 Vincent Lin 2009年4月7日 上午 02:25
    2009年4月1日 上午 03:46
    版主
  • 蘇老....
    太感激了
    經過查證,果然是中毒,服務商一開始裝機就已經重讀
    實在沒辦法,下載微軟的惡意軟體移除工具就解決了
    感恩
    不過還有更頭痛的問題
    哀...無奈 我們公司最近要申請VPN專線
    上頭居然問我他們是怎門拉海纜到我們公司的
    公司已經有光纖網路了為何還要申請VPN專線,有光纖就好啦
    天阿快瘋了,要我報告一下.............無奈無奈
    2009年4月6日 下午 01:33
  • 老闆會說有光纖就好,有可能是不瞭解VPN 的好處及用途,
    你可以參考看看ZDNet Taiwan的這篇文章:你的企業為何需要VPN?VPN:企業資料的安全通道
    然後把資料再口語化並整理給老闆看,
    相信老闆會懂的。

    如果老闆是為了成本考量,所以不想申請跨國的VPN專線,
    可以研究一下公司現有的網路設備是否能串成VPN,
    甚至,其實用Windows Server 也能建立Site to Site VPN。

    像我朋友的公司在台灣跟中國的廠區,
    參考我的建議後是用F牌防火牆設備串成內部網路,
    雖然速度跟穩定度上沒有跨國專線好,
    但至少讓他們省下不少費用。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年4月7日 上午 01:35
    版主
  • 你可以直接找台灣的isp就有提供二岸的vpn服務
    一般512k的價格約1w5左右,1mb大約是2w;偏遠地區也有達到3w的
    價格還會依照地區的不同而有不同的價格

    各公司有自己的海纜,但是他們都是以台灣公司為一區,然後再搭配對岸的isp為一區
    並非真正拉一條專用的vpn網路喔
    只是這二區之間,都算是同一個區網;所以視同為vpn的網路環境

    光纖網路只夠提供你上網的功能,要能達到二岸連線順暢穩定,則需要使用到vpn線路
    而且光纖網路是基於internet的,vpn則是屬於內部封閉的網路(如同你拉一條網路線到對岸公司)


    另外關於你的大陸服務器dns問題
    你應該把大陸服務器上的dns直接設定成isp提供給你的dns就行了
    其實是不怎麼需要把台灣的也設定進去
    而且dns除非是自己建的,而且轉送的dns是申請的isp提供的dns
    這樣才有辦法使用轉送的dns功能
    2009年4月7日 上午 05:28
  • 感謝蘇老
    您提到的,在會議上也都提報,但問題好像在於價格
    因為他們覺得要每月負擔這些費用,實在不划算
    其實我也測試過用現有的設備作
    但PING 的速度都在150~180,上下起伏很大,雖然沒有遺失封包
    傳輸的需求有ERP、VOICE、VIDEO、DATA
    這樣好像還是會有無法滿足需求的問題
    2009年4月7日 下午 02:37
  • 感謝大大回覆
    我評估過VPN價格後來還是決定使用MPLC 不使用 IPLC
    但目前看來反而是大陸地區費用較高
    台灣費率其實都還好,只是看還有沒有殺價空間
    目前報價有第一線與中華
    只能說現在看上面到底要做到怎樣
    好比火車有分快車與慢車
    他如果想做平快慢慢到高雄我也沒辦
    2009年4月7日 下午 02:40