locked
求救 server 2008 dns 記錄 求救 RRS feed

  • 問題

  • 求救,
    小弟是新手, 不久前在公司建了一個ad 和dns server, 但今天在家中 用nslookup竟可以把內網domain user 主機的ip (192.168.X.X) 找出來
    上網找了很久....好像是因為 內/外域名相同的原因, 但找不到解決的方法......希望各位大大可以求求小弟......感激不盡
    > hostA.xxxx.com
    Server:  UnKnown
    Address:  10.0.0.1

    Non-authoritative answer:
    Name:    hostA.xxxx.com
    Address:  192.168.1.10
    2009年10月14日 下午 06:37

解答

  • Dear Nickin

    一般來說,在DNS的規劃中,AD是放在公司內安全區域,而公司主要的DNS應該要置放於外部DMZ區中

    依照您描述的狀況,比較像是把DNS服務對映外部的可以參照到那台AD上,而AD上的DNS服務本來就一定會記錄有內部的IP資訊

    若您在Nslookup時是以外部的DNS如:168.95.1.1查詢你的DNS會查到內部的IP,那麼你的任何以DNS服務內容為基礎的Site一定都連不了的

    例如是下列的狀況,那麼…你就必須依照上面的說法,將你的AD名稱設定加上一個Local,像是XXX.com.local,這樣你就可以把你的DNS再新增一個外部區域使用的
    > hostA.xxxx.com
    Server:  DNS.HINET.NET
    Address:  168.95.1.1

    Non-authoritative answer:
    Name:    hostA.xxxx.com
    Address:  192.168.1.10

    有任何問題歡迎您再提出!
    • 已標示為解答 Vincent Lin 2009年10月17日 上午 02:49
    2009年10月15日 上午 12:52
  • 如Jason所建議,比較好的規劃是將公司分內外部的DNS,
    而且將AD暴露在Internet上也有很高的資安風險。

    可以參考台灣微軟TechNet在2006年8月30日所舉辦的網路廣播課程:Windows Server 2003 網路基礎架構服務 -- Managing DNS(DNS 設定與管理維護)
    在課程影片的後面有提到內外網的架構,您可以參考看看。

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 Vincent Lin 2009年10月17日 上午 02:49
    2009年10月15日 上午 02:17
    版主
  • 額外提供一篇關於DNS內外分開的架構觀念 & 作法的文章給你參考
    看完之後對整個觀念和作法應該會比較了解

    You Need to Create a Split DNS! (英文)
    http://www.isaserver.org/tutorials/You_Need_to_Create_a_Split_DNS.html
    • 已標示為解答 Vincent Lin 2009年10月17日 上午 02:49
    2009年10月15日 上午 04:10

所有回覆

  • Dear Nickin

    一般來說,在DNS的規劃中,AD是放在公司內安全區域,而公司主要的DNS應該要置放於外部DMZ區中

    依照您描述的狀況,比較像是把DNS服務對映外部的可以參照到那台AD上,而AD上的DNS服務本來就一定會記錄有內部的IP資訊

    若您在Nslookup時是以外部的DNS如:168.95.1.1查詢你的DNS會查到內部的IP,那麼你的任何以DNS服務內容為基礎的Site一定都連不了的

    例如是下列的狀況,那麼…你就必須依照上面的說法,將你的AD名稱設定加上一個Local,像是XXX.com.local,這樣你就可以把你的DNS再新增一個外部區域使用的
    > hostA.xxxx.com
    Server:  DNS.HINET.NET
    Address:  168.95.1.1

    Non-authoritative answer:
    Name:    hostA.xxxx.com
    Address:  192.168.1.10

    有任何問題歡迎您再提出!
    • 已標示為解答 Vincent Lin 2009年10月17日 上午 02:49
    2009年10月15日 上午 12:52
  • 如Jason所建議,比較好的規劃是將公司分內外部的DNS,
    而且將AD暴露在Internet上也有很高的資安風險。

    可以參考台灣微軟TechNet在2006年8月30日所舉辦的網路廣播課程:Windows Server 2003 網路基礎架構服務 -- Managing DNS(DNS 設定與管理維護)
    在課程影片的後面有提到內外網的架構,您可以參考看看。

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 Vincent Lin 2009年10月17日 上午 02:49
    2009年10月15日 上午 02:17
    版主
  • 額外提供一篇關於DNS內外分開的架構觀念 & 作法的文章給你參考
    看完之後對整個觀念和作法應該會比較了解

    You Need to Create a Split DNS! (英文)
    http://www.isaserver.org/tutorials/You_Need_to_Create_a_Split_DNS.html
    • 已標示為解答 Vincent Lin 2009年10月17日 上午 02:49
    2009年10月15日 上午 04:10
  • 請問現在把域名改成XXX.com.local 會對現在用戶有影響嗎?
    如果會....是否要整個域重建...或是有什麼方法...感謝各位的回覆
    • 已標示為解答 Vincent Lin 2009年10月17日 上午 02:49
    • 已取消標示為解答 Vincent Lin 2009年10月17日 上午 02:49
    2009年10月15日 下午 01:54
  • 個人覺得網域更名的工程頗浩大(可參考微軟技術文件庫:Administering Active Directory Domain Rename),
    比較建議架一個獨立DNS主機放置於DMZ區,
    專門提供服務Internet較佳。

    可參考下圖網路架構。 :)
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年10月16日 上午 02:02
    版主
  • 可以不用重新命名網域
    只要在DMZ裡面建一台新的DNS Server..是提供網路上的DNS查詢..筆如查詢你家的Web Server(跟AskaSu兄提的一樣意思)
    而這台DNS Server裡面的紀錄就只要有Web Server的紀錄即可

    企業內部的話就可以使用原先的DNS Server提供內部使用者來做使用

    這樣一來..兩台DNS Server的資料是不一樣的..不用擔心外面的人可以查詢到你內部的資訊

    而我說的這些東西跟我上面提到的網址(Spilt DNS)是一樣的..如果還沒看..建議你花半小時的時間去看..才會對這種架構比較了解

    2009年10月16日 上午 02:23
  • 了解
    感謝大家的回覆
    2009年10月16日 下午 01:45