locked
DNS轉寄站問題請教 RRS feed

  • 問題

  • 各位好

    我們公司有一台DNS(linux系統),IP為A.B.C.D

    原本公司內的user中的電腦的網卡資訊中,DNS設定就是這一組A.B.C.D

    使用者使用這組dns可供查詢解析到外面其他網站,也可以解析公司本身domain的網站

    我們現今有導入一個Windows 2008 AD架構服務,IP為192.168.75.5,也啟用了winodws本身內建的DNS服務

    所以在此AD Server網卡資訊中, IP=192.168.75.5 DNS=192.168.75.5,今後公司user中的電腦DNS設定勢必也要是192.168.75.5

    我在WINDOWS 2008 DNS設定一個轉寄站,轉寄站是設定為我們公司的DNS A.B.C.D

    可是新增轉寄站後,在伺服器FQDN欄位中卻出現「無法解析」的狀況

    我在dos模式底下用nslookup測試

    預設dns伺服器是192.168.75.5,是可以辦法解析到外面其他網站(yahoo,google.....)

    但是本公司domain自己的網站則無法解析

    所以我用另一個方法nslookup測試

    預設dns伺服器改設為A.B.C.D,結果是可以解析到外面其他網站,也可以解析到公司domain內部自己的網站

    偏偏在windows 2008 DNS轉寄站是沒有辦法work,不知還有什麼原因可以除錯嗎?

    謝謝





    • 已編輯 臭猴子 2014年3月25日 上午 02:40
    2014年3月21日 上午 06:47

解答

  • 我想這應該跟封包沒有關係, 我先要確定 onas.xxxxxx.tw的 xxxxxxx.tw是不是就是你建立的AD網域相同?

    而且你的問題是, 網外連線的DNS解釋(www.google.com, www.microsoft.com等) 完全沒有問題, 問題只出現在xxxxxx.tw的DNS解釋上.

    如果上面兩個問題的答案都是YES, 那麼你必然要以Zone Transfer或手動的方式把原本在Linux上的A/AAAA Record移過來使用.

    不同的網段連線成不成功是在DNS解釋出IP Address後的路由問題. 現在你的問題是使用AD Domain的DNS不能解答得到onas.xxxxxx.tw的IP Address, 所以把注意力集中到DNS上就可以.

    到了DNS能回答你onas.xxxxxx.tw的位置了, 才關心它回答的是1.1.1.1還是192.168.75.x, 而且能不能連線 (防火牆/路由)


    邊幫助, 邊鍛鍊

    2014年3月25日 上午 06:00

所有回覆

  • Hi 臭猴子

    你的2008 dns去ping a.b.c.d會有回應嗎?

    另外你的防火牆有檢查過了嗎?

    Active Directory 和 Active Directory 網域服務連接埠需求

    http://technet.microsoft.com/zh-tw/library/dd772723(v=ws.10).aspx

    2014年3月21日 上午 08:58
  • 已經確認過防火牆部份了

    是可以Ping的到a.b.c.d

    我防火牆是規則如下

    192.168.75.5------> a.b.c.d   any port

    port都全開了還是沒辦法解析,這樣才奇怪,所以才會上來問問

    謝謝指教


    • 已編輯 臭猴子 2014年3月24日 上午 08:12
    2014年3月21日 上午 09:38
  • Hi 臭猴子

    那假如先將防火牆關閉測試的話

    也是一樣嗎?

    2014年3月21日 上午 10:19
  • 是指winodws 2008內建的防火牆?

    內建的防火牆也原本已經關閉了

    2014年3月24日 上午 06:24
  • 能否提供你的Windows 轉寄站設定畫面截圖?
    及查詢的過程畫面?或許會比較容易找出原因。

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年3月24日 上午 06:59
    版主
  • 上圖為轉寄站的設定

    上圖為winodws 2008 dns無法查詢我們公司的網站

    2014年3月24日 上午 08:41
  • 如果用我們公司自架的dns server(linux)則可以解析的到

    2014年3月24日 上午 08:43
  • Hi 臭猴子

    我說的是linux的防火牆設定

    另外你在linux上面有開放遞迴查詢嗎?

    因為預設linux停用回應的


    2014年3月24日 上午 09:38
  • Hi Lissam Coyote

    iptables原本就是關閉的

    linux那台dns有設ACL,讓某些網段可以開放遞廻查詢

    192.168.75.0這段已經有加入ACL List裡面了

    另外我發現如果解析yahoo、google外面的網站是可以解析的到

    就是公司自己domain的網站無法解析到

    還是我dns設定錯誤?

    • 已編輯 臭猴子 2014年3月25日 上午 02:32
    2014年3月25日 上午 02:20
  • 有嘗試將 DC 上的轉寄站改成 ISP 的嗎?
    如果換成 ISP 的正常,
    那麼就是 Linux 上的設定問題,
    建議找 Linux 相關討論區詢問或者從 Linux 上著手。

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年3月25日 上午 02:34
    版主
  • 如果只有你自己的Domain出現問題, 我有點資訊想詳細一點知道的

    在你建築Windows Server 2008 DNS後, 有跟你的Linux DNS進行Zone Transfer的動作讓他們可以互相(或單向)傳送DNS A Record的更新嗎?

    如果你不想進行自動的Zone Transfer, 那麼有把自己公司的網站, 或其他機器的DNS A紀錄手動重建出來嗎?

    例如你的Domain 叫abc.tw, 那麼你到Windows 的DNS上看, 如果沒有 web.abc.tw這條DNS A紀錄,

    那麼Windows DNS就會回答你找不到web.abc.tw這台電腦, 而不會把你的DNS查詢傳遞到Linux上,

    因為Windows見到你查詢abc.tw, 覺得自己能夠解決的, 如果它找不到web.abc.tw, 就是沒有這台電腦 (它是這樣覺得啦),

    所以你可以先看看是不是windows DNS上根本沒有onas.xxxxx.tw 這條紀錄


    邊幫助, 邊鍛鍊

    2014年3月25日 上午 02:51
  • Hi Justin

    我建置這台2008 DNS服務之後,是沒有跟Linux DNS進行Zone Transfer的動作

    我也沒有將自己公司的網站利用手動方式將A Redord手動重建,因為公司內部網站太多了,一一建立很花時

    間,當然如果將onas.xxxxx.tw手動建立A record,一定是可以解析的到

    2008 DNS沒有跟Linux DNS進行Zone Transfer的原因是因為在建置2008 DNS之前,

    有自行架設2008DNS Lab,此Lab單純將AD、DNS服務啟用之後,設定轉寄站,將轉寄站設定為a.b.c.d,結果是可以

    work,無論是外面的網站或是公司內部的網都可解析的到,DNS Lab是跟Linux DNS相同網段,

    即然DNS Lab都可以work的話,正式2008 DNS也應該可以才對,就差在網段不一樣,防火牆也開規則了

    在dos模式底下將dns預設伺服器設為a.b.c.d也是沒有問題,可以正常解析,代表網路部份防火牆是ok的

    看來要在192.168.75.0這網段再架設Lab試試看好了

    謝謝各位



    • 已編輯 臭猴子 2014年3月25日 上午 03:42
    2014年3月25日 上午 03:40
  • 我想這應該跟封包沒有關係, 我先要確定 onas.xxxxxx.tw的 xxxxxxx.tw是不是就是你建立的AD網域相同?

    而且你的問題是, 網外連線的DNS解釋(www.google.com, www.microsoft.com等) 完全沒有問題, 問題只出現在xxxxxx.tw的DNS解釋上.

    如果上面兩個問題的答案都是YES, 那麼你必然要以Zone Transfer或手動的方式把原本在Linux上的A/AAAA Record移過來使用.

    不同的網段連線成不成功是在DNS解釋出IP Address後的路由問題. 現在你的問題是使用AD Domain的DNS不能解答得到onas.xxxxxx.tw的IP Address, 所以把注意力集中到DNS上就可以.

    到了DNS能回答你onas.xxxxxx.tw的位置了, 才關心它回答的是1.1.1.1還是192.168.75.x, 而且能不能連線 (防火牆/路由)


    邊幫助, 邊鍛鍊

    2014年3月25日 上午 06:00