none
再次請教幾點有關DNS的疑問 RRS feed

  • 問題

  • Dear All....

    一直搞不清楚一些狀況,因此在此提出請教一番,希望知道的大大們能夠為我解惑一下,謝謝!!

    倘若今日在外申請的網域名稱為xxx.com,而內部的網域也叫做xxx.com,同時DNS非代管而是自行架設控管下,是否.....

    1-是否需架設2個DNS,一個為外部別人解析用,也就是自己架設申請的DNS,另一個則為內部網域所使用的DNS。

    倘若需內外DNS分開....

    2-安裝在PDC上的DNS是否就做內部的DNS,而外部使用的DNS是架在另一台主機上,PDC上網卡上的DNS即指向自己的IP,區網內使用者亦是如此(PDC上架設的DNS)。

    3-又或者安裝在PDC上的DNS就做外部申請的DNS也可,而內部使用的DNS是架在另一台主機上,PDC上網卡上的DNS即設置另一台主機的IP。

    想必這應該是很基本的笨問題,但小弟不才,因此希望大大們解說一下囉.

     

    謝謝!!

     

    Kind Regards.

    2006年12月14日 上午 08:09

解答

  • 在此種情況下為了安全性(避免外面的user可以輕易查詢到內部IP),所以會建議你將Internet上要使用的DNS Server另外建置在獨立的伺服器或Member Server上.

    而內部AD所使用的DNS Server則放在Domain Controller上並啟用複寫至每一台DC上

    2006年12月14日 上午 09:20

所有回覆

  • 在此種情況下為了安全性(避免外面的user可以輕易查詢到內部IP),所以會建議你將Internet上要使用的DNS Server另外建置在獨立的伺服器或Member Server上.

    而內部AD所使用的DNS Server則放在Domain Controller上並啟用複寫至每一台DC上

    2006年12月14日 上午 09:20
  • 謝謝您的回覆...

    所以Domain Controller上的DNS Server不可是給外部使用的,而是內部AD的,至於外部的則建置在另一獨立伺服器上。

    這樣對吧~~

     

    Kind Regards...

    2006年12月15日 上午 03:11
  • 也不是說DC就不能當作外部查詢的DNS Server,而是如果你的Internet Domain Name如果正好與你的AD Domain Name相同的時候就不要如此作~
    2006年12月15日 上午 03:25
  • 謝謝您再次的回覆,

    瞭解了,謝謝!!

    Kind regards.

    2006年12月15日 上午 04:45
  • 2006年12月15日 上午 06:15
  • 不好意思,再請教一個小問題,這台外部的dns需要加入domain,也用domain administrator登入,還是說加入domain但用local administrator登入,因為小弟我都有這個小問題不了解,還請各位知道者能回答一下,謝謝!!!
    2007年4月10日 上午 01:20
  • 就安全性而言,最好不要加入網域,

    如果這台DNS Server 只是要提供外部的DNS 服務的話

    2007年4月10日 上午 01:32
  • 謝謝你,我先來試一下,裝一台新的,然後把舊的服務停用,有問題再來向各位請教一下!!
    2007年4月10日 下午 06:08
  •  -Emperor- 寫信:

    Dear All....

    一直搞不清楚一些狀況,因此在此提出請教一番,希望知道的大大們能夠為我解惑一下,謝謝!!

    倘若今日在外申請的網域名稱為xxx.com,而內部的網域也叫做xxx.com,同時DNS非代管而是自行架設控管下,是否.....

    1-是否需架設2個DNS,一個為外部別人解析用,也就是自己架設申請的DNS,另一個則為內部網域所使用的DNS。

    倘若需內外DNS分開....

    2-安裝在PDC上的DNS是否就做內部的DNS,而外部使用的DNS是架在另一台主機上,PDC上網卡上的DNS即指向自己的IP,區網內使用者亦是如此(PDC上架設的DNS)。

    3-又或者安裝在PDC上的DNS就做外部申請的DNS也可,而內部使用的DNS是架在另一台主機上,PDC上網卡上的DNS即設置另一台主機的IP。

    想必這應該是很基本的笨問題,但小弟不才,因此希望大大們解說一下囉.

     

    謝謝!!

     

    Kind Regards.

     

     

    Dear -Emperor-:

     

               1.就安全性跟負載以及日後維護為考量的話.可以用一台專門對外供人查詢相關服務 (Mail.WWW.FTP) 的DNS.一台專門供內部查詢的DNS

               2.安裝在PDC上的DNS不一定是內部DNS.要看當初定義的用途.  PDC的主要是指向自己IP .而CLIENT是指向PDC的IP.

               3.安裝在PDC上的DNS也可做外部查詢的DNS.但不建議這樣做!!

     

    以上幾點解說希望能對你有幫助.謝謝!!

           

    2007年4月11日 上午 07:56
  • 各位好:

    看過最頂樓的問題,實作後我產生一個問題一直無法改善,希望高手能指點一二。

    環境描述:用防火牆隔開各自在內部架設(AD+DNS)及外部架設(DNS+MAIL),內部與外部的網域名稱同時都是xxx.com.tw,(例:內部DNS的IP為192.168.1.1,內部主機名稱svr1.xxx.com.tw,外部為163.29.1.68,外部主機名稱為ns1.xxx.com.tw)


     

    發生問題:在公司外收發信件都正常,而內部每個Client的DNS都設定192.168.1.1,上網也都正常。唯一的問題就是MAIL無法正常運作還有使用http://xxx.com.tw 的webmail 無法開啟,因為我們的格式是用:username@xxx.com.tw ,我知道如果我改成@mail.xxx.com.tw 是沒有問題,但是因為@xxx.com.tw 大家都已經用習慣。

     

    內部DNS在AD設定好後隨即產生,我還加上MX指向外部DNS ns1.xxx.com.tw,及ns1 (A) 指向 163.29.1.68

    使用nslookup

    > set type=mx

    > xxx.com.tw

    Server: svr1.xxx.com.tw

    Address: 192.168.1.1

     

    xxx.com.tw         MX preference = 10, mail exchanger = ns1.xxx.com.tw

    ns1.xxx.com.tw   internet address = 163.29.1.68

     

    倘若我此時把原來內部DNS的

    (和父系資料夾相同)    主機(A)    192.168.1.1  <----  將192.168.1.1 改成 163.29.1.68

    大家都可以正常收發信件跟使用webmail,不過問題僅短暫解決,因為過一陣子會再自動產生一筆

    (和父系資料夾相同)    主機(A)    192.168.1.1

    因此,此時使用nslookup  xxx.com.tw

    Server: svr1.xxx.com.tw

    Address: 192.168.1.1

     

    Name:     xxx.com.tw

    Addresses: 192.168.1.1,  163.29.1.68

    此時,不正常的狀況將再產生。

    2007年9月1日 上午 03:29
  • 解決方式:

    1.將 外部DNS+Mail 搬進防火牆內 .並給予一個192.168.1.xxx的位址

    2.防火牆開NAT 設定163.29.1.68對應到192.168.1.xxx (外部DNS+Mail Server的位址)

    3.再把 外部DNS 設定 MX 與 A記錄 (A記錄要用163.29.1.68的位址)

     

    以上即可改善此問題.且安全性較佳.

    希望對你有幫助

    2007年9月1日 上午 04:05
  • 馬兄您好:

    你的意思是,

    1.我把原來上在防火牆的主機移至防火牆內,並將原來網卡的實體IP改成內部的同一網段的虛擬IP 192.168.1.xxx ?

    2.透過NAT虛擬主機的功能把原先在163.29.1.68的DNS,POP3,SMTP導向到192.168.1.xxx ?

    3.此時,所謂的外部DNS應該A紀錄會是192.168.1.xxx 我再改成163.29.1.68 ?

    如你所說全改好,我原本的內部DNS還需要更改什麼東西嗎?

    2007年9月1日 上午 04:30
  •  -Emperor- 寫信:

    Dear All....

    一直搞不清楚一些狀況,因此在此提出請教一番,希望知道的大大們能夠為我解惑一下,謝謝!!

    倘若今日在外申請的網域名稱為xxx.com,而內部的網域也叫做xxx.com,同時DNS非代管而是自行架設控管下,是否.....

    1-是否需架設2個DNS,一個為外部別人解析用,也就是自己架設申請的DNS,另一個則為內部網域所使用的DNS。

    倘若需內外DNS分開....

    2-安裝在PDC上的DNS是否就做內部的DNS,而外部使用的DNS是架在另一台主機上,PDC上網卡上的DNS即指向自己的IP,區網內使用者亦是如此(PDC上架設的DNS)。

    3-又或者安裝在PDC上的DNS就做外部申請的DNS也可,而內部使用的DNS是架在另一台主機上,PDC上網卡上的DNS即設置另一台主機的IP。

    想必這應該是很基本的笨問題,但小弟不才,因此希望大大們解說一下囉.

     

    謝謝!!

     

    Kind Regards.

     

    想請教一下

    1..依上面情形他申請的網域由自己管理,所以必須架設一台dns為外網用

    但網域名稱相同,但一般建議是區分內外網域名稱,如果兩個網域名稱相同,安全的建議是什麼??

    2.如果dns為isp代管,內部AD的DNS是否可以指向ISP代管的DNS位址,那還需要另外架設一台外部用的嗎??

     

    2007年9月1日 上午 06:46
  • 善兄:

    1.依照你之前的敘述.你在防火牆外面有一部主機是提供DNS跟MAIL~~所以將那一台主機移到內部.

    2.是的.(設定NAT是關鍵~~要注意是否有設定錯誤)

    3.外部的DNS上的A記錄~通通要改成"實體"IP.不需要有192.168.XXX.XXX的虛擬IP.(記住別用成AD整合模式即可)

    4.內部DNS只要加一筆A記錄是 從外部移入內部的那台主機IP即可~~

     

     

    2007年9月2日 上午 01:38
  • 馬兄:

    感謝您的指點,不過我會規劃如此的架構是因為在模擬EMAIL跟DNS是給人家代管的狀況,如此我架設一個與網域名稱相同的AD時,會需要在內部DNS調整的部份。所以我還是需要了解,倘若Email是用 username@xxx.com.tw 這樣的狀況而非 username@ms.xxx.com.tw 時,在內部網域的clinet用戶在收信問題的改善。

     

    不過,對於您給我的建議我也有一點疑問,就是,如果外部DNS已經把它拉到內部的網域裡,並且它的實體IP改為虛擬IP(192.168.1.xxx)後,倘若我今天在裝AD時他不是會偵測到區域網路中已經有xxx.com.tw 的網域及DNS? 如此相同名稱會相互干擾嗎?

    2007年9月3日 上午 01:17
  •  

    善兄:

    我有兩個不解的地方~想請問一下

    1.AD是裝在外部DNS+MAIL主機上面??

    2.你有兩個DOMAIN ??

     

    2007年9月4日 下午 12:26
  • 馬兄:

    回覆你的疑惑~~不過你可以看我最前的問題,我有把我的環境出現的問題說的比較清楚!!

    1.我的AD是裝在與內部DNS同一台機器上,至於外部的DNS+EMAIL這一台主機是想模擬給人代管時候的狀況。

    2.我只有一個DOMAIN,我AD架設在xxx.com.tw下,而外部DNS當然是用xxx.com.tw 才能收發信件吧!只是如果我今天Email的格式是用username@mail.xxx.com.tw 以我現在的處理方式可能沒有問題,問題就是卡在我是用username@xxx.com.tw 在內部的區域網路收發信會出問題,而在外面都是正常的,因為在外面解析到的DNS正是mail主機的實體IP,而在內部區域網路解析是在內部的DNS主機IP,並非外部的MAIL SERVER IP。

     

    馬兄你如果知道怎麼設定煩請不吝指教!! 因為我已經束手無策了~~

    腦殘中~~如果有高手或是MVP請給個指導吧 ^^"

    2007年9月4日 下午 04:58