PDA

【求助】DNS問題請教



贊助商連結

頁 : [1] 2
mis339
2004-11-22, 11:44 AM
DNS問題請教

就是,我有架一個Windows 2003 Server ,對外提供DNS和Mail服務,對內提供DNS、AD、Mail和檔案伺服器,透過寬頻分享器當NAT,然後在寬頻分享器中開虛擬伺服器,把相關的 Port對應到內部的伺服器,目前運作還算正常,相關設定如下,但有幾個小問題想請教。

外部IP:假設是1.2.3.4
Domain Name:假設是abc.com
內部伺服器IP:192.168.168.88

因為架AD時會要求架DNS,因此我的DNS的伺服器IP是192.168.168.88,為了要讓外面的人也能查MX的記錄,所以我又增加了一個NS為 1.2.3.4,結果問題就來了,外面的人Ping abc.com時,理論上會回應1.2.3.4,但是在某些情況下,它竟然會去Ping 192.168.168.88!而用Nslookup去查時,真的可以查到兩組對應IP,1.2.3.4和192.168.168.88!我有試著把 192.168.168.88的NS記錄刪除,但只要重新啟動或是過一會兒,它就又會自動產生!請問這該怎麼處理好?謝謝。

贊助商連結

mis339
2004-11-22, 11:46 AM
我想可能是我描述的不夠詳細!我的環境是我有一台伺服器,IP是192.168.168.88,提供內部的AD、DNS、Mail Server和File Server。而我們對外是透過寬頻分享器連接ADSL,寬頻分享器對外的IP假設是1.2.3.4,而對內的IP則是192.168.168.168,而我將寬頻分享器的虛擬伺服器設成,Port 53、25、110對應到192.168.168.88,分別提供外部的DNS解析和Mail Server。

假設我們公司的網域是abc.com,郵件格式是: [email protected],別人要寄信給我們時,對方不是會先查詢abc.com的IP和MX記錄嗎?這時就會發生有些人沒辦法寄信給我們,後來經我實地去查的結果,發現從他們的公司Ping abc.com時,理論上應該是回應1.2.3.4,但竟然卻出現192.168.168.88!而用nslookup時,它會顯示abc.com有對應兩個IP,分別是1.2.3.4和192.168.168.88,但是卻法辦法指定是用1.2.3.4?!我有試著下ipconfig /flushdns,還是一樣不行!

或是有沒有辦法做到說我的DNS中外部的真實IP和內部IP的記錄,但是如果從外部查詢的話,只能查到外部的記錄,而不能查詢內部IP的記錄!(我是指在同一台Server的情況下)

就是這樣,這個問題困擾了我很久!麻煩大家了,謝謝。

不管如何,謝謝你的回應。
              (192.168.168.88)
      (1.2.3.4)     |-->Server
ADSL <--> 寬頻分享器 <--> Switch
    (192.168.168.168)  |-->其他內部PC
               (192.168.168.X)
dominic
2004-11-22, 12:23 PM
像這種情況一臺電腦下有兩片網卡~我覺得對內對外的網域名稱最好分開使用..
而對外網域名稱設定為不允許"動態更新"
而若你現在將abc.com改為不允許動態更新又可能會有問題...
不然就是另外架設一台dns以取代這台了...
aiken
2004-11-22, 12:33 PM
必須將內部與外部的DNS Zone 區分開來而不能夠在同一個zone
否則因為 AD 整合而會自動更新 SOA, NS 資訊, 就會有你所說的情況

簡單的作法是另外架一台 DNS Server 將內外部的DNS實體的做區分
這也是一般比較建議的作法
複雜的方法是建立不同的 DNS Zone 於同一台伺服器上並且修改內部DNS尾碼
還是可以做到...但是比較不建議...

實際上要建立在同一台的複雜度略高...但是目前我自己家裡架的是這樣做
mis339
2004-11-22, 02:01 PM
必須將內部與外部的DNS Zone 區分開來而不能夠在同一個zone
否則因為 AD 整合而會自動更新 SOA, NS 資訊, 就會有你所說的情況

簡單的作法是另外架一台 DNS Server 將內外部的DNS實體的做區分
這也是一般比較建議的作法
複雜的方法是建立不同的 DNS Zone 於同一台伺服器上並且修改內部DNS尾碼
還是可以做到...但是比較不建議...

實際上要建立在同一台的複雜度略高...但是目前我自己家裡架的是這樣做
請問一下,你的意思是你是內外部的DNS整合在同一台嗎?怎麼做的?謝謝。
aiken
2004-11-22, 02:10 PM
我的作法是:

將外部網域指定為(無AD整合, 無動態更新)
abc.com.tw
將內部網域指定為(AD整合, 動態更新)
abc.com.tw.local or local.abc.com.tw
內部DNS尾碼 abc.com.tw.local or local.abc.com.tw

但是這樣子做會有一些缺點(安全性, 尾碼...)
並不建議這樣子做....

PS.建議你多使用 搜尋引擎 或 微軟知識庫/NNTP 獲得所需資訊
可以參考 SBS 的建置方式
mis339
2004-11-23, 07:14 PM
謝謝aiken的回應,你的意思是指對外用父網域,內部的AD用子網域,是嗎?
例如:我們公司是abc.com,內部的AD在架設時是用tw.abc.com,而再dns中另外建一個abc.com的zone,是嗎?
aiken
2004-11-23, 07:45 PM
不是

是使用兩個獨立不相干的主要網域, 跟什麼父子母女沒有關係....
abc.com abc.com.local
mis339
2004-11-26, 11:26 AM
謝謝回應,我問過很多人,他們的答案都跟你們一樣!不過……老闆的要求比較奇怪,因此可能還會再新增一台DNS來提供對外的服務吧,謝謝。
lkktth
2004-12-06, 07:51 PM
謝謝回應,我問過很多人,他們的答案都跟你們一樣!不過……老闆的要求比較奇怪,因此可能還會再新增一台DNS來提供對外的服務吧,謝謝。
你好!小弟也有跟您相同的困惱.在小弟請教某公司老闆後他交了我一個方法,希望對你有用!
新增一筆A記錄 如exchang.abc.com.tw
然後將MX紀錄指向exchang.abc.com.tw IP為真實IP
這樣在查MX記錄的時候 應該就可以查到正確的IP
不知道這樣可不可行 小弟試了一下 目前還沒有問題