Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
| | | | |
Принимается! :) 02.07.03 10:31 Число просмотров: 1145
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
|
|
|
<beginners>
|
обязательно ли создавать зону "." 01.07.03 10:16
Автор: s_v_a Статус: Незарегистрированный пользователь
Отредактировано 01.07.03 10:17 Количество правок: 1
|
При настройке DNS и AD - обязательно ли создавать зону "." ?
windows 2000 AS
домен будет вида company.local, адреса у всех машин - 10.10.10.*
|
|
Необязательно, да она и не играет никакой роли, если сервак в инет не смотрит. 01.07.03 23:00
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
|
А если сервак смотрит в инет, то тут 2 варианта. Если в ДНСе она есть, то сервак считает себя пупом земли и все запросы на ЛЮБЫЕ адреса будет пытаться резолвить сам, а если ее нет, то запросы на резолвинг ДНС имен, не принадлежащих домену сервера, он будет решать через запросы корневым серверам.
|
| |
Правильно ли будет сделать так 02.07.03 07:51
Автор: s_v_a Статус: Незарегистрированный пользователь
|
Доступ в инет в нашей сети сделан через nat (на cisco-router), и есть два dns-cервера с реальными ip-адресами (они не в нашей сети)
правильно ли будет:
- зону "." не создавать
- создать Reverse Lookup Zone
- в "forwarders" указать наши dns-серверы
- на всех рабочих станциях в качестве первого dns-сервера указать адрес Domain Controller
и еще вопрос: можно ли удалить все из списка "Root Hints" (там сейчас присутствуют a.root-servers.net ... m.root-servers.net)
|
| | |
Правильно ли будет сделать так 02.07.03 08:17
Автор: Konstantin <Konstantin Leontiev> Статус: Member
Отредактировано 02.07.03 08:26 Количество правок: 1
|
> Доступ в инет в нашей сети сделан через nat (на
> cisco-router), и есть два dns-cервера с реальными
> ip-адресами (они не в нашей сети)
>
> правильно ли будет:
> - зону "." не создавать
> - создать Reverse Lookup Zone
> - в "forwarders" указать наши dns-серверы
> - на всех рабочих станциях в качестве первого dns-сервера
> указать адрес Domain Controller
Ничего силльно плохого в отсутствии зоны revers lookup не будет... Хотя для стройностьи настроек и для удобства администрирования её создать следует. revers lookup удобна когда включена динамическая регистрация DNS (она по умолчанию включена).
Всё остальное абсолютно верно и сделать стоит именно так.
На рабочих станциях ставить вторым DNS сервером ваши "мировые" DNS сервера смысла не имеет. Если домен отвалиться всё равно всё будет хреново работать (но будет), а наличие второго DNS в списке не поддерживающего динамические обновления при условии что первый (поддерживающий их упадёт) приведёт к замедлению загрузки компов на 2-3 минуты из за попыток динамической регистрации.
> и еще вопрос: можно ли удалить все из списка "Root Hints"
> (там сейчас присутствуют a.root-servers.net ...
> m.root-servers.net)
Смысла особого нет, проще явно запретить итеративные запросы.
Если зона primary, то чтобы их удалить нужно править файл cache.dns руками (вычищая их оттуда) иначе они будут после каждой перезагрузки службы DNS появляться.
Если у тебя зона AD integrated, то root-hints придётся вычищать из AD либо остнасткой AD Users & Computers (в Advanced Mode) или чем-то вроде ADSI Editor или LDP.
Вобщем проще не связываться.
Ну а для того чтобы быть увереным что только определённый вид трафика покидает вашу локалку надёжнее всего настроить на Cisco Access List-ы и зафильтровать там всё что не положено.
|
| |
гы. 02.07.03 00:44
Автор: Konstantin <Konstantin Leontiev> Статус: Member
Отредактировано 02.07.03 00:47 Количество правок: 1
|
Если он SOA для зоны '.' То никому он запросы форвардить не будет!!! Он просто будет отвечать что нет такого!!! При таком ответе от сервера клиент не будет ничего ни у кого больше спрашивать.
Root Hints нужны для выполнения итеративных запросов и прямого отношения к зоне '.' не имеют.
Microsoft считает, что '.' нужно создавать лишь в том случае, если вы хотите чтобы DNS запросы ни при каком стечении обстоятельств не покидали вашу интранет.
И обратите внимание, что Primary зона '.' это не кешированная зона '.' с поддоменом root-servers.net. который не кешируется по настоящему, а берётся из списка root hints при инициализации DNS.
|
| | |
гы. 02.07.03 01:59
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
> Если он SOA для зоны '.' То никому он запросы форвардить не
> будет!!! Он просто будет отвечать что нет такого!!! При
> таком ответе от сервера клиент не будет ничего ни у кого
> больше спрашивать.
Дык я об этом и написал (см. пост выше)
> Root Hints нужны для выполнения итеративных запросов и
> прямого отношения к зоне '.' не имеют.
А к какой зоне тогда они имеют отношение?
> Microsoft считает, что '.' нужно создавать лишь в том
> случае, если вы хотите чтобы DNS запросы ни при каком
> стечении обстоятельств не покидали вашу интранет.
И это естественно, сервер, который держит точку, будет пытаться сам все резолвить и при этом, конечно, никому эти запросы форвардить не будет.
> И обратите внимание, что Primary зона '.' это не
> кешированная зона '.' с поддоменом root-servers.net.
> который не кешируется по настоящему, а берётся из списка
> root hints при инициализации DNS.
Речь идет не о Primary зоне, а об AD Integrated. При подъеме майкрософтовского ДНСа, если серверу не удается обнаружить корневые сервера, автоматически создается интегрированная в АД зона "точка" (которая у автора корневого поста и не создалась, в связи с чем и возник у него вопрос)
P.S. Не понял смысл твоего поста. Ничего нового к тому, что я уже сказал, он не прибавил и на вопрос корневого поста тоже не ответил.
|
| | | |
Извини плохо прочитал твой пост - темно было и спать хотелось.. 02.07.03 08:28
Автор: Konstantin <Konstantin Leontiev> Статус: Member
|
|
|
| | | | |
Принимается! :) 02.07.03 10:31
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
|
|
|
Она, вроде как, сама создастя (если мастером) 01.07.03 12:53
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| |
нет, сама не создалась 01.07.03 12:59
Автор: s_v_a Статус: Незарегистрированный пользователь
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
