none
解析位於DMZ中的主機FQDN RRS feed

  • 問題

  •  

    各位前輩:

     

    請教各位,如何在現有的AD中設計DNS讓domain client可以解析到位於DMZ的主機FQDN呢?

    此主機並未加入網域,但是擁有內部的ip address ,並且開放網際網路的使用者可以連線進來.

    此主機的FQDN透過internet也可以解析,但是不希望內部使用者跑到internet上再繞回來.

     

     

    請各位前輩指點,如果設計不良的地方,請指導.

     

    Thanks.

    2009年1月14日 上午 03:08

所有回覆

  • AD 網域名稱跟外部FQDN是一樣的嗎?

    如果是,我會直接設定A Record 指向該機器的內部IP,

    如果不是,就新增正向區域再設定A Record 對應該內部IP。

    但是,以上記得確認標頭值是否有設定正確。

     

    而且,我記得就算是設定Internet IP,

    只要是在貴公司對外的網路IP跟DMZ的機器,

    都位於同一組IP範圍及遮罩下,

    是不會跑到閘道甚至是Internet上再繞回來。

    2009年1月14日 上午 03:52
    版主
  •  AskaSu 寫信:

    AD 網域名稱跟外部FQDN是一樣的嗎?

    如果是,我會直接設定A Record 指向該機器的內部IP,

    如果不是,就新增正向區域再設定A Record 對應該內部IP。

    但是,以上記得確認標頭值是否有設定正確。

     

    而且,我記得就算是設定Internet IP,

    只要是在貴公司對外的網路IP跟DMZ的機器,

    都位於同一組IP範圍及遮罩下,

    是不會跑到閘道甚至是Internet上再繞回來。

     

    Hi, 謝謝你的資訊.
    因為我是新手,所以想跟你請教仔細一些.

     

    因為這台主機不加入網域,所以他的電腦名稱不會有AD的DNS尾碼,因此會設計成一個internet上可以註冊的名稱.

    比如說是websvr.xyz.com.tw , 這樣的話是不是說網域內的DNS SVR需要新增一個Standard Zone名稱為xyz.com.tw.

    然後再增加一筆A record指到這台位於DMZ的主機??

    另外我在internet上再去註冊這個xyz.com.tw dns domain,因為這台主機是提供web services,所以使用轉址的方式,ex: http://websvr.xyz.com.tw/test1 -- > 220.120.22.22(company internet gateway),解析到我公司的internet gateway,在轉到DMZ的這台主機.

     

    請問一下,這樣的設計是對的嗎?有沒有哪裡有錯誤或是需要改善的地方??

     

    Thanks.

    2009年1月14日 上午 05:19
  • 有沒有給予機器DNS 尾碼,基本上不影響你的網頁服務,

    因為用戶端打網址要瀏覽網頁是靠DNS 去解析,

    不是由你的機器去作解析,

    除非你的外部DNS 伺服器也在DMZ的那台主機上。

     

    討論前比較想先知道的是:

    1. 你的DNS規劃是分成內外部嗎?比如AD 網域對內,但外部對Internet還有一個DNS伺服器。

    2. 內外部的FQDN都一樣嗎?比如都叫做「abc.com.tw」?

    2009年1月14日 上午 05:57
    版主
  • 你好:

     

    1.基本上DNS規劃只有內部的沒有外部的DNS,用戶端上網接須透過proxy.

    2.用戶端連線到這台主機不管是從內部還是從Internet來都是連線到相同的名稱.

     

    DMZ中並沒有dns server.

     

     

     

    請建議,謝謝!!

     

    2009年1月14日 上午 07:04
  • 看來你的內部網域名稱和外部不同,所以你在AD的DNS上新增xyz.com.tw,

    在新增webserver.xyz.com.tw 的A record 對應DMZ 的IP即可

    2009年1月14日 上午 07:28
  • 那麼你註冊網域名稱時,

    所設定的DNS也是指向你的DC嗎?

     

    如果內外的網域名稱是不同的,

    就直接參考Lusheng 的建議就可以了

    2009年1月14日 上午 07:30
    版主
  • 謝謝兩位前輩的指導.

    我大概知道怎麼設定內部的DNS伺服器ㄌ.

     

    另外再請教各位,為了讓這台主機能夠回應Internet來的request,這台位於DMZ的主機是否要將default gateway和DNS伺服器指到公司internet gateway呢?然後再針對內部使用者的需求,在這台主機上更改routing table, 使其能夠回應內部使用者的需求?

     

    這樣的設計是否能讓這台主機正常運作嗎?

     

     

    謝謝指導.

     

     

     

    2009年1月14日 上午 09:47
  • 這個問題比較傾向於網路設計,

    不過以我碰過的網路架構來說,

    大概都像下面這張圖,

     

    路由的部分會是由防火牆設備或相關網路設備去作,

    而DMZ上的主機由於要對外服務,大多用IP Mapping 或Port Mapping 的方式處理,

    所以不論是內部還是外部都一定可以連,

    而且內部的使用者也不會繞到Internet上。

    2009年1月14日 下午 02:28
    版主
  •  AskaSu 寫信:

    這個問題比較傾向於網路設計,

    不過以我碰過的網路架構來說,

    大概都像下面這張圖,

     

    路由的部分會是由防火牆設備或相關網路設備去作,

    而DMZ上的主機由於要對外服務,大多用IP Mapping 或Port Mapping 的方式處理,

    所以不論是內部還是外部都一定可以連,

    而且內部的使用者也不會繞到Internet上。

     

    Hi , 各位前輩:

     

    謝謝你精闢的說明,我想我完全了解ㄌ.

    非常感激.

     

     

    Thanks.

    2009年1月15日 上午 02:37