【求助】DNS問題請教

**mis339** · 2004-11-22, 11:44 AM

DNS問題請教

就是，我有架一個Windows 2003 Server ，對外提供DNS和Mail服務，對內提供DNS、AD、Mail和檔案伺服器，透過寬頻分享器當NAT，然後在寬頻分享器中開虛擬伺服器，把相關的 Port對應到內部的伺服器，目前運作還算正常，相關設定如下，但有幾個小問題想請教。

外部IP：假設是1.2.3.4
Domain Name：假設是abc.com
內部伺服器IP：192.168.168.88

因為架AD時會要求架DNS，因此我的DNS的伺服器IP是192.168.168.88，為了要讓外面的人也能查MX的記錄，所以我又增加了一個NS為 1.2.3.4，結果問題就來了，外面的人Ping abc.com時，理論上會回應1.2.3.4，但是在某些情況下，它竟然會去Ping 192.168.168.88！而用Nslookup去查時，真的可以查到兩組對應IP，1.2.3.4和192.168.168.88！我有試著把 192.168.168.88的NS記錄刪除，但只要重新啟動或是過一會兒，它就又會自動產生！請問這該怎麼處理好？謝謝。

**mis339** · 2004-11-22, 11:46 AM

我想可能是我描述的不夠詳細！我的環境是我有一台伺服器，IP是192.168.168.88，提供內部的AD、DNS、Mail Server和File Server。而我們對外是透過寬頻分享器連接ADSL，寬頻分享器對外的IP假設是1.2.3.4，而對內的IP則是192.168.168.168，而我將寬頻分享器的虛擬伺服器設成，Port 53、25、110對應到192.168.168.88，分別提供外部的DNS解析和Mail Server。

假設我們公司的網域是abc.com，郵件格式是： [email protected]，別人要寄信給我們時，對方不是會先查詢abc.com的IP和MX記錄嗎？這時就會發生有些人沒辦法寄信給我們，後來經我實地去查的結果，發現從他們的公司Ping abc.com時，理論上應該是回應1.2.3.4，但竟然卻出現192.168.168.88！而用nslookup時，它會顯示abc.com有對應兩個IP，分別是1.2.3.4和192.168.168.88，但是卻法辦法指定是用1.2.3.4？！我有試著下ipconfig /flushdns，還是一樣不行！

或是有沒有辦法做到說我的DNS中外部的真實IP和內部IP的記錄，但是如果從外部查詢的話，只能查到外部的記錄，而不能查詢內部IP的記錄！(我是指在同一台Server的情況下)

就是這樣，這個問題困擾了我很久！麻煩大家了，謝謝。

不管如何，謝謝你的回應。
　　　　　　　　　　　　　　(192.168.168.88)
　　　　　　(1.2.3.4)　　　　　|-->Server
ADSL <--> 寬頻分享器 <--> Switch
　　　　(192.168.168.168)　　|-->其他內部PC
　　　　　　　　　　　　　　(192.168.168.X)

**dominic** · 2004-11-22, 12:23 PM

像這種情況一臺電腦下有兩片網卡~我覺得對內對外的網域名稱最好分開使用..
而對外網域名稱設定為不允許"動態更新"
而若你現在將abc.com改為不允許動態更新又可能會有問題...
不然就是另外架設一台dns以取代這台了...

**aiken** · 2004-11-22, 12:33 PM

必須將內部與外部的DNS Zone 區分開來而不能夠在同一個zone
否則因為 AD 整合而會自動更新 SOA, NS 資訊, 就會有你所說的情況

簡單的作法是另外架一台 DNS Server 將內外部的DNS實體的做區分
這也是一般比較建議的作法
複雜的方法是建立不同的 DNS Zone 於同一台伺服器上並且修改內部DNS尾碼
還是可以做到...但是比較不建議...

實際上要建立在同一台的複雜度略高...但是目前我自己家裡架的是這樣做

**mis339** · 2004-11-22, 02:01 PM

作者：aiken

必須將內部與外部的DNS Zone 區分開來而不能夠在同一個zone
否則因為 AD 整合而會自動更新 SOA, NS 資訊, 就會有你所說的情況

簡單的作法是另外架一台 DNS Server 將內外部的DNS實體的做區分
這也是一般比較建議的作法
複雜的方法是建立不同的 DNS Zone 於同一台伺服器上並且修改內部DNS尾碼
還是可以做到...但是比較不建議...

實際上要建立在同一台的複雜度略高...但是目前我自己家裡架的是這樣做

請問一下，你的意思是你是內外部的DNS整合在同一台嗎？怎麼做的？謝謝。

**aiken** · 2004-11-22, 02:10 PM

我的作法是:

將外部網域指定為(無AD整合, 無動態更新)
abc.com.tw
將內部網域指定為(AD整合, 動態更新)
abc.com.tw.local or local.abc.com.tw
內部DNS尾碼 abc.com.tw.local or local.abc.com.tw

但是這樣子做會有一些缺點(安全性, 尾碼...)
並不建議這樣子做....

PS.建議你多使用搜尋引擎或微軟知識庫/NNTP 獲得所需資訊
可以參考 SBS 的建置方式

**mis339** · 2004-11-23, 07:14 PM

謝謝aiken的回應，你的意思是指對外用父網域，內部的AD用子網域，是嗎？
例如：我們公司是abc.com，內部的AD在架設時是用tw.abc.com，而再dns中另外建一個abc.com的zone，是嗎？

**aiken** · 2004-11-23, 07:45 PM

不是

是使用兩個獨立不相干的主要網域, 跟什麼父子母女沒有關係....
abc.com abc.com.local

**mis339** · 2004-11-26, 11:26 AM

謝謝回應，我問過很多人，他們的答案都跟你們一樣！不過……老闆的要求比較奇怪，因此可能還會再新增一台DNS來提供對外的服務吧，謝謝。

**lkktth** · 2004-12-06, 07:51 PM

作者：mis339

謝謝回應，我問過很多人，他們的答案都跟你們一樣！不過……老闆的要求比較奇怪，因此可能還會再新增一台DNS來提供對外的服務吧，謝謝。

你好!小弟也有跟您相同的困惱.在小弟請教某公司老闆後他交了我一個方法,希望對你有用!
新增一筆A記錄如exchang.abc.com.tw
然後將MX紀錄指向exchang.abc.com.tw IP為真實IP
這樣在查MX記錄的時候應該就可以查到正確的IP
不知道這樣可不可行小弟試了一下目前還沒有問題