информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsАтака на InternetЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
как бы разрулить ДНС в домене? 13.08.07 11:33  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
вообщем до меня сетку делали, видимо очень хитрые админы, поэтому локальный домен они назвали так:

office.companyname.ru

а не как все нормальные люди office.local

проблема в том, что домен companyname.ru существует в интернете и зарегестрирован у нашего же провайдера.

как следствие, все попытки пинговать компы в локальной сети по имени, например ping comp1
получают на выходе внешний IP сайта companyname.ru
что откровенно бесит.

при этом сетка работает нормально, хз почему. все сервисы в сети работают. но все равно имхо это как-то криво и неправильно.

насколько я понимаю, если ДНС-сервак просто переустановить, то накроется домен. или я чего-то не знаю про вин2003?

вообщем хотелось бы немножко советов как вылечить эту фигню.

и еще вопрос, а правильно ли я угадал причину косяка? это ведь из-за этого внешний IP выдается на любой внутрений комп? или есть другая причина?
Если на клиентов раздается один внешний адрес, а не стоит ли... 17.09.07 13:39  
Автор: lazy_anty Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> поэтому локальный домен они назвали так:
> office.companyname.ru
> а не как все нормальные люди office.local
>
> как следствие, все попытки пинговать компы в локальной сети
> по имени, например ping comp1
> получают на выходе внешний IP сайта companyname.ru
Если на клиентов раздается один внешний адрес, а не стоит ли на этом адресе файрвол? Если разные, но внешние, то где прописаны? В настройках DHCP? Поменять, чтобы внешние раздавались только избранным, остальным - внутренние. Если у comp1 в локальной сетивнутреннийадрес ip, он пропишется, в данном случае, во внешнюю зону DNS company.ru, но из Интернет к нему не подлезешь.

> при этом сетка работает нормально, хз почему.
Виноват NetBT... ;)

> все сервисы в сети работают. но все равно имхо это как-то криво и
> неправильно.
Причем, возможны задержки (что-то открывается долго и/или не с первого раза), поскольку запросчик сперва обломится на DNS-разрешении, а по широковещательному запросу таки-отработает.

> насколько я понимаю, если ДНС-сервак просто переустановить,
> то накроется домен. или я чего-то не знаю про вин2003?
Два подхода - добавить внутренний домен, company.local и принудительно регистрировать клиентов и все внутренние ресурсы в него, если автоматически - с правильным доменным суффиксом в tpcip стеке). Либо переименовать AD во "внутренний"- у MS есть для этого средство, но процесс весьма опасный, и перед началом нужно все один раз понять и два проверить, в частности - не забыть про настройки в "негибких" сетевых узлах - non-member servers, сетевых принтерах, сканерах и т.п., чтобы после переименования домена они не "потерялись" бы для его клиентов.

>
> вообщем хотелось бы немножко советов как вылечить эту
> фигню.
>
> и еще вопрос, а правильно ли я угадал причину косяка? это
> ведь из-за этого внешний IP выдается на любой внутрений
> комп? или есть другая причина?
DHCP? Копать настройки, чтобы только избранным выдавались внешние адреса. Остальным - внутренние. Косметический недостаток - внутренние адреса во внешней зоне, но несмертельно.
Some pieces of advice 14.08.07 19:53  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
1) FQDN of your Windows domain:
may be *.local, may be *.ru.

1) NIC on your DCs DNS:
You have to have no DNS servers configured there.

2) Resolving Internet addresses for your internal clients:
Set someforwarders (typically they are your ISP DNSs addresses) for your DC DNS servers.

3) Resolving Internet addresses (your www, mx and so on) for internet community:
ask your ISP to create the zone and related resource records.
Спасибо, так тоже вроде работает, но очень странно.. сайты... 16.08.07 09:07  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
Спасибо, так тоже вроде работает, но очень странно.. сайты только со второго раза открывает... кстати это мне что-то знакомо. это ли не из новеледж бэйз? :) потому что вроде в мануале к винде я тоже самое читал года 3 назад...
и еще при этом днс-сервер не резолвит сам себя почему-то... вообщем пока вроде работает, я еще сам поковыряюсь дальше, спасибо за советы!
На сервере ДНС (офисном, который для АД), должна быть зона... 13.08.07 12:52  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
На сервере ДНС (офисном, который для АД), должна быть зона office.companyname.ru
Соответственно, этот ДНС-сервер ответственен (authoritative) за эту зону и вполне может отдавать внутренние айпи-адреса.
Другое дело, на нём может быть настроен форвардинг на внешний ДНС, и тогда, если он сам почему-то не может разрешить имя, то обращается наверх.
Так что в теории, такая схема именования возможна. Но что там у тебя - это надо разбираться.
Еще может быть (у меня ранее было), прописан (раздан ДХЦП) у клиентов вторым внешний ДНС сервер (прова, например). И при таймаутах внутреннего, использует внешний, который не знает внутреннюю зону.А форвардинг я бы не трогал, надо настроить внутренню зону 13.08.07 14:06  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Семен Семеныч!! вот я ламо :)) ну точно 13.08.07 15:51  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
а не.. нифига не ламо... стоят только 2 внутрених на ДХЦП :(( 13.08.07 15:55  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
Тогда я не понял. Как (чем) компьютеры внутри разрешают... 14.08.07 12:44  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Тогда я не понял. Как (чем) компьютеры внутри разрешают внешние имена?
ну на серваке ДНС же прописан внешний, сам-то он резолвит внешние 14.08.07 15:05  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
понятно 14.08.07 15:15  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
В общем, за базар не отвечаю, но кажется на АДшном ДНС сервере в настройках TCPIP не надо прописывать никаких ДНС серверов.
А сделать надо как я писал выше.
А как они синхронизируются (делегируют) между собой? Может второй "смотрит" и форвардит не на первый (основной), а наружу? 13.08.07 17:58  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 13.08.07 17:59  Количество правок: 1
<"чистая" ссылка>
Или же второй форвардит на первый, но первый не отвечает и запросы уходят наружу. Надо, что у обоих была инфа по локальным хостам в актуальном состоянии. Что nslookup говорит? 13.08.07 18:10  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
а напомни плиз... 13.08.07 13:58  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
Отредактировано 13.08.07 13:59  Количество правок: 1
<"чистая" ссылка>
> На сервере ДНС (офисном, который для АД), должна быть зона
> office.companyname.ru
> Соответственно, этот ДНС-сервер ответственен
> (authoritative) за эту зону и вполне может отдавать
> внутренние айпи-адреса.
> Другое дело, на нём может быть настроен форвардинг на
> внешний ДНС, и тогда, если он сам почему-то не может
> разрешить имя, то обращается наверх.
> Так что в теории, такая схема именования возможна. Но что
> там у тебя - это надо разбираться.
----------
вообще очень похоже... у меня была такая мысль. но я никак не могу вспомнить, где эта галочка ставится? разве это не при выборе при установке ДНС-сервера, какой он будет, первичный или форвардер? у меня установлен как первичный(интегрейтед АД)
не подскажешь где глянуть форвардинг?
напоминаю 13.08.07 15:59  
Автор: michaek Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> не подскажешь где глянуть форвардинг?

DNS -> <SERVER> -> Свойства -> Пересылка
не там ничего не указано :( в смысле форвардеров нет 13.08.07 17:01  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach