информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Атака на InternetПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Правильно ли будет сделать так 02.07.03 08:17  Число просмотров: 1125
Автор: Konstantin <Konstantin Leontiev> Статус: Member
Отредактировано 02.07.03 08:26  Количество правок: 1
<"чистая" ссылка>
> Доступ в инет в нашей сети сделан через nat (на
> cisco-router), и есть два dns-cервера с реальными
> ip-адресами (они не в нашей сети)
>
> правильно ли будет:
> - зону "." не создавать
> - создать Reverse Lookup Zone
> - в "forwarders" указать наши dns-серверы
> - на всех рабочих станциях в качестве первого dns-сервера
> указать адрес Domain Controller

Ничего силльно плохого в отсутствии зоны revers lookup не будет... Хотя для стройностьи настроек и для удобства администрирования её создать следует. revers lookup удобна когда включена динамическая регистрация DNS (она по умолчанию включена).

Всё остальное абсолютно верно и сделать стоит именно так.

На рабочих станциях ставить вторым DNS сервером ваши "мировые" DNS сервера смысла не имеет. Если домен отвалиться всё равно всё будет хреново работать (но будет), а наличие второго DNS в списке не поддерживающего динамические обновления при условии что первый (поддерживающий их упадёт) приведёт к замедлению загрузки компов на 2-3 минуты из за попыток динамической регистрации.

> и еще вопрос: можно ли удалить все из списка "Root Hints"
> (там сейчас присутствуют a.root-servers.net ...
> m.root-servers.net)

Смысла особого нет, проще явно запретить итеративные запросы.

Если зона primary, то чтобы их удалить нужно править файл cache.dns руками (вычищая их оттуда) иначе они будут после каждой перезагрузки службы DNS появляться.
Если у тебя зона AD integrated, то root-hints придётся вычищать из AD либо остнасткой AD Users & Computers (в Advanced Mode) или чем-то вроде ADSI Editor или LDP.

Вобщем проще не связываться.

Ну а для того чтобы быть увереным что только определённый вид трафика покидает вашу локалку надёжнее всего настроить на Cisco Access List-ы и зафильтровать там всё что не положено.
<beginners>
обязательно ли создавать зону "." 01.07.03 10:16  
Автор: s_v_a Статус: Незарегистрированный пользователь
Отредактировано 01.07.03 10:17  Количество правок: 1
<"чистая" ссылка>
При настройке DNS и AD - обязательно ли создавать зону "." ?
windows 2000 AS
домен будет вида company.local, адреса у всех машин - 10.10.10.*
Необязательно, да она и не играет никакой роли, если сервак в инет не смотрит. 01.07.03 23:00  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
А если сервак смотрит в инет, то тут 2 варианта. Если в ДНСе она есть, то сервак считает себя пупом земли и все запросы на ЛЮБЫЕ адреса будет пытаться резолвить сам, а если ее нет, то запросы на резолвинг ДНС имен, не принадлежащих домену сервера, он будет решать через запросы корневым серверам.
Правильно ли будет сделать так 02.07.03 07:51  
Автор: s_v_a Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Доступ в инет в нашей сети сделан через nat (на cisco-router), и есть два dns-cервера с реальными ip-адресами (они не в нашей сети)

правильно ли будет:
- зону "." не создавать
- создать Reverse Lookup Zone
- в "forwarders" указать наши dns-серверы
- на всех рабочих станциях в качестве первого dns-сервера указать адрес Domain Controller

и еще вопрос: можно ли удалить все из списка "Root Hints" (там сейчас присутствуют a.root-servers.net ... m.root-servers.net)
Правильно ли будет сделать так 02.07.03 08:17  
Автор: Konstantin <Konstantin Leontiev> Статус: Member
Отредактировано 02.07.03 08:26  Количество правок: 1
<"чистая" ссылка>
> Доступ в инет в нашей сети сделан через nat (на
> cisco-router), и есть два dns-cервера с реальными
> ip-адресами (они не в нашей сети)
>
> правильно ли будет:
> - зону "." не создавать
> - создать Reverse Lookup Zone
> - в "forwarders" указать наши dns-серверы
> - на всех рабочих станциях в качестве первого dns-сервера
> указать адрес Domain Controller

Ничего силльно плохого в отсутствии зоны revers lookup не будет... Хотя для стройностьи настроек и для удобства администрирования её создать следует. revers lookup удобна когда включена динамическая регистрация DNS (она по умолчанию включена).

Всё остальное абсолютно верно и сделать стоит именно так.

На рабочих станциях ставить вторым DNS сервером ваши "мировые" DNS сервера смысла не имеет. Если домен отвалиться всё равно всё будет хреново работать (но будет), а наличие второго DNS в списке не поддерживающего динамические обновления при условии что первый (поддерживающий их упадёт) приведёт к замедлению загрузки компов на 2-3 минуты из за попыток динамической регистрации.

> и еще вопрос: можно ли удалить все из списка "Root Hints"
> (там сейчас присутствуют a.root-servers.net ...
> m.root-servers.net)

Смысла особого нет, проще явно запретить итеративные запросы.

Если зона primary, то чтобы их удалить нужно править файл cache.dns руками (вычищая их оттуда) иначе они будут после каждой перезагрузки службы DNS появляться.
Если у тебя зона AD integrated, то root-hints придётся вычищать из AD либо остнасткой AD Users & Computers (в Advanced Mode) или чем-то вроде ADSI Editor или LDP.

Вобщем проще не связываться.

Ну а для того чтобы быть увереным что только определённый вид трафика покидает вашу локалку надёжнее всего настроить на Cisco Access List-ы и зафильтровать там всё что не положено.
гы. 02.07.03 00:44  
Автор: Konstantin <Konstantin Leontiev> Статус: Member
Отредактировано 02.07.03 00:47  Количество правок: 1
<"чистая" ссылка>
Если он SOA для зоны '.' То никому он запросы форвардить не будет!!! Он просто будет отвечать что нет такого!!! При таком ответе от сервера клиент не будет ничего ни у кого больше спрашивать.

Root Hints нужны для выполнения итеративных запросов и прямого отношения к зоне '.' не имеют.

Microsoft считает, что '.' нужно создавать лишь в том случае, если вы хотите чтобы DNS запросы ни при каком стечении обстоятельств не покидали вашу интранет.

И обратите внимание, что Primary зона '.' это не кешированная зона '.' с поддоменом root-servers.net. который не кешируется по настоящему, а берётся из списка root hints при инициализации DNS.
гы. 02.07.03 01:59  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
> Если он SOA для зоны '.' То никому он запросы форвардить не
> будет!!! Он просто будет отвечать что нет такого!!! При
> таком ответе от сервера клиент не будет ничего ни у кого
> больше спрашивать.

Дык я об этом и написал (см. пост выше)

> Root Hints нужны для выполнения итеративных запросов и
> прямого отношения к зоне '.' не имеют.

А к какой зоне тогда они имеют отношение?

> Microsoft считает, что '.' нужно создавать лишь в том
> случае, если вы хотите чтобы DNS запросы ни при каком
> стечении обстоятельств не покидали вашу интранет.

И это естественно, сервер, который держит точку, будет пытаться сам все резолвить и при этом, конечно, никому эти запросы форвардить не будет.

> И обратите внимание, что Primary зона '.' это не
> кешированная зона '.' с поддоменом root-servers.net.
> который не кешируется по настоящему, а берётся из списка
> root hints при инициализации DNS.

Речь идет не о Primary зоне, а об AD Integrated. При подъеме майкрософтовского ДНСа, если серверу не удается обнаружить корневые сервера, автоматически создается интегрированная в АД зона "точка" (которая у автора корневого поста и не создалась, в связи с чем и возник у него вопрос)

P.S. Не понял смысл твоего поста. Ничего нового к тому, что я уже сказал, он не прибавил и на вопрос корневого поста тоже не ответил.
Извини плохо прочитал твой пост - темно было и спать хотелось.. 02.07.03 08:28  
Автор: Konstantin <Konstantin Leontiev> Статус: Member
<"чистая" ссылка>
Принимается! :) 02.07.03 10:31  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
Она, вроде как, сама создастя (если мастером) 01.07.03 12:53  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
нет, сама не создалась 01.07.03 12:59  
Автор: s_v_a Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach