Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
а напомни плиз... 13.08.07 13:58 Число просмотров: 3091
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
Отредактировано 13.08.07 13:59 Количество правок: 1
|
> На сервере ДНС (офисном, который для АД), должна быть зона
> office.companyname.ru
> Соответственно, этот ДНС-сервер ответственен
> (authoritative) за эту зону и вполне может отдавать
> внутренние айпи-адреса.
> Другое дело, на нём может быть настроен форвардинг на
> внешний ДНС, и тогда, если он сам почему-то не может
> разрешить имя, то обращается наверх.
> Так что в теории, такая схема именования возможна. Но что
> там у тебя - это надо разбираться.
----------
вообще очень похоже... у меня была такая мысль. но я никак не могу вспомнить, где эта галочка ставится? разве это не при выборе при установке ДНС-сервера, какой он будет, первичный или форвардер? у меня установлен как первичный(интегрейтед АД)
не подскажешь где глянуть форвардинг?
|
|
<sysadmin>
|
как бы разрулить ДНС в домене? 13.08.07 11:33
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
вообщем до меня сетку делали, видимо очень хитрые админы, поэтому локальный домен они назвали так:
office.companyname.ru
а не как все нормальные люди office.local
проблема в том, что домен companyname.ru существует в интернете и зарегестрирован у нашего же провайдера.
как следствие, все попытки пинговать компы в локальной сети по имени, например ping comp1
получают на выходе внешний IP сайта companyname.ru
что откровенно бесит.
при этом сетка работает нормально, хз почему. все сервисы в сети работают. но все равно имхо это как-то криво и неправильно.
насколько я понимаю, если ДНС-сервак просто переустановить, то накроется домен. или я чего-то не знаю про вин2003?
вообщем хотелось бы немножко советов как вылечить эту фигню.
и еще вопрос, а правильно ли я угадал причину косяка? это ведь из-за этого внешний IP выдается на любой внутрений комп? или есть другая причина?
|
|
Если на клиентов раздается один внешний адрес, а не стоит ли... 17.09.07 13:39
Автор: lazy_anty Статус: Незарегистрированный пользователь
|
> поэтому локальный домен они назвали так:
> office.companyname.ru
> а не как все нормальные люди office.local
>
> как следствие, все попытки пинговать компы в локальной сети
> по имени, например ping comp1
> получают на выходе внешний IP сайта companyname.ru
Если на клиентов раздается один внешний адрес, а не стоит ли на этом адресе файрвол? Если разные, но внешние, то где прописаны? В настройках DHCP? Поменять, чтобы внешние раздавались только избранным, остальным - внутренние. Если у comp1 в локальной сетивнутреннийадрес ip, он пропишется, в данном случае, во внешнюю зону DNS company.ru, но из Интернет к нему не подлезешь.
> при этом сетка работает нормально, хз почему.
Виноват NetBT... ;)
> все сервисы в сети работают. но все равно имхо это как-то криво и
> неправильно.
Причем, возможны задержки (что-то открывается долго и/или не с первого раза), поскольку запросчик сперва обломится на DNS-разрешении, а по широковещательному запросу таки-отработает.
> насколько я понимаю, если ДНС-сервак просто переустановить,
> то накроется домен. или я чего-то не знаю про вин2003?
Два подхода - добавить внутренний домен, company.local и принудительно регистрировать клиентов и все внутренние ресурсы в него, если автоматически - с правильным доменным суффиксом в tpcip стеке). Либо переименовать AD во "внутренний"- у MS есть для этого средство, но процесс весьма опасный, и перед началом нужно все один раз понять и два проверить, в частности - не забыть про настройки в "негибких" сетевых узлах - non-member servers, сетевых принтерах, сканерах и т.п., чтобы после переименования домена они не "потерялись" бы для его клиентов.
>
> вообщем хотелось бы немножко советов как вылечить эту
> фигню.
>
> и еще вопрос, а правильно ли я угадал причину косяка? это
> ведь из-за этого внешний IP выдается на любой внутрений
> комп? или есть другая причина?
DHCP? Копать настройки, чтобы только избранным выдавались внешние адреса. Остальным - внутренние. Косметический недостаток - внутренние адреса во внешней зоне, но несмертельно.
|
|
Some pieces of advice 14.08.07 19:53
Автор: void <Grebnev Valery> Статус: Elderman
|
1) FQDN of your Windows domain:
may be *.local, may be *.ru.
1) NIC on your DCs DNS:
You have to have no DNS servers configured there.
2) Resolving Internet addresses for your internal clients:
Set someforwarders (typically they are your ISP DNSs addresses) for your DC DNS servers.
3) Resolving Internet addresses (your www, mx and so on) for internet community:
ask your ISP to create the zone and related resource records.
|
| |
Спасибо, так тоже вроде работает, но очень странно.. сайты... 16.08.07 09:07
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
Спасибо, так тоже вроде работает, но очень странно.. сайты только со второго раза открывает... кстати это мне что-то знакомо. это ли не из новеледж бэйз? :) потому что вроде в мануале к винде я тоже самое читал года 3 назад...
и еще при этом днс-сервер не резолвит сам себя почему-то... вообщем пока вроде работает, я еще сам поковыряюсь дальше, спасибо за советы!
|
|
На сервере ДНС (офисном, который для АД), должна быть зона... 13.08.07 12:52
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
На сервере ДНС (офисном, который для АД), должна быть зона office.companyname.ru
Соответственно, этот ДНС-сервер ответственен (authoritative) за эту зону и вполне может отдавать внутренние айпи-адреса.
Другое дело, на нём может быть настроен форвардинг на внешний ДНС, и тогда, если он сам почему-то не может разрешить имя, то обращается наверх.
Так что в теории, такая схема именования возможна. Но что там у тебя - это надо разбираться.
|
| |
Еще может быть (у меня ранее было), прописан (раздан ДХЦП) у клиентов вторым внешний ДНС сервер (прова, например). И при таймаутах внутреннего, использует внешний, который не знает внутреннюю зону.А форвардинг я бы не трогал, надо настроить внутренню зону 13.08.07 14:06
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | |
Семен Семеныч!! вот я ламо :)) ну точно 13.08.07 15:51
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
|
|
| | | |
а не.. нифига не ламо... стоят только 2 внутрених на ДХЦП :(( 13.08.07 15:55
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
|
|
| | | | |
Тогда я не понял. Как (чем) компьютеры внутри разрешают... 14.08.07 12:44
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
Тогда я не понял. Как (чем) компьютеры внутри разрешают внешние имена?
|
| | | | | |
ну на серваке ДНС же прописан внешний, сам-то он резолвит внешние 14.08.07 15:05
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
|
|
| | | | | | |
понятно 14.08.07 15:15
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
В общем, за базар не отвечаю, но кажется на АДшном ДНС сервере в настройках TCPIP не надо прописывать никаких ДНС серверов.
А сделать надо как я писал выше.
|
| | | | |
А как они синхронизируются (делегируют) между собой? Может второй "смотрит" и форвардит не на первый (основной), а наружу? 13.08.07 17:58
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 13.08.07 17:59 Количество правок: 1
|
|
|
| | | | | |
Или же второй форвардит на первый, но первый не отвечает и запросы уходят наружу. Надо, что у обоих была инфа по локальным хостам в актуальном состоянии. Что nslookup говорит? 13.08.07 18:10
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| |
а напомни плиз... 13.08.07 13:58
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
Отредактировано 13.08.07 13:59 Количество правок: 1
|
> На сервере ДНС (офисном, который для АД), должна быть зона
> office.companyname.ru
> Соответственно, этот ДНС-сервер ответственен
> (authoritative) за эту зону и вполне может отдавать
> внутренние айпи-адреса.
> Другое дело, на нём может быть настроен форвардинг на
> внешний ДНС, и тогда, если он сам почему-то не может
> разрешить имя, то обращается наверх.
> Так что в теории, такая схема именования возможна. Но что
> там у тебя - это надо разбираться.
----------
вообще очень похоже... у меня была такая мысль. но я никак не могу вспомнить, где эта галочка ставится? разве это не при выборе при установке ДНС-сервера, какой он будет, первичный или форвардер? у меня установлен как первичный(интегрейтед АД)
не подскажешь где глянуть форвардинг?
|
| | |
напоминаю 13.08.07 15:59
Автор: michaek Статус: Незарегистрированный пользователь
|
> не подскажешь где глянуть форвардинг?
DNS -> <SERVER> -> Свойства -> Пересылка
|
| | | |
не там ничего не указано :( в смысле форвардеров нет 13.08.07 17:01
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
