» Всё о DNS

Grant2k В принципе известный глюк виндузявого сервера, при конфигурации зоны где-то теряется точка, в результате все запросы он воспринимает как к своей зоне.
Еще раз внимательно прочекай все настройки.
А вообще-то я рекомендовал бы виндузявый ДНС убить, и вместо него поставить и настроить ISC Bind9 (есть версия и для виндузов). Настраивается за полчаса, работает как часы.

vlary
даже и не знаю что смотреть, проклацал, внешне все нормально, хотя могу ошибаться.

Народ подскажите как решить задачу.
1. Есть настроенный домен с двумя контролерами srv1 и srv2 (10.5.1.0/24)
2. Есть терминальный сервер term1 (10.5.1.0/24)
3. Есть некое VPN подключение к другой конторе (10.8.1.0/24)
4. DNS сервера из VPN сети известны (далее VPN-DNS)
5. VPN роутер имеет адрес 10.5.1.250
6. На term1 добавлен маршрут до роутера, в настройки сетевого подключения term1 первичный DNS прописан srv1, вторичный DNS прописан VPN-DNS

Необходимо чтобы term1 мог разрезолвивать как имена из VPN сети, так и из локальной. Если спросить через nslookup конкретно VPN-DNS то все резольвится, но ping и tracert не видят хосты по имени. У меня появилась идея сделать на srv1 зону заглушку для VPN сети, но тогда придется на srv1 тоже прописывать маршрут до VPN роутера, а мне бы не хотелось.

Цитата:

ping и tracert

используйте полное доменное имя

Ну а как иначе, конечно я использую полное доменное имя fqdn

а логи ping можете выложить?

Ну какие логи, просто не резолвится имя

Цитата:

прописывать маршрут до VPN роутера, а мне бы не хотелось.

Почему не хотите?

Задача решилась поднятием роли DNS на сервере term1 и настройки условной пересылки

Коллеги, вопрос в следующем. На предприятии существует почтовый сервер, работающий на провайдере 1. возникла необходимость его бесперебойной работы на случай отключения интернета, для этого был подключён провайдер 2. сейчас всё настроено таким образом(за помощь в настройках спасибо Vlary):
1 domen.com. NS ns1.r01.ru.
2 domen.com. NS ns2.r01.ru.
3 domen.com. MX 1 mail.domen.com.
4 domen.com. A 7.8.9.10 (запись, отвечающая за сайт)
5 *.domen.com. A 7.8.9.10 (запись, отвечающая за сайт)
6 mail.domen.com. A 1.2.3.4 (запись 1 го провайдера)
7 pop.domen.com. CNAME mail.domen.com.
8 smtp.domen.com. CNAME mail.domen.com.
9 imap.domen.com. CNAME mail.domen.com.
10 domen.com. MX 10 mail1.domen.com.
11 mail1.domen.com. A 5.6.7.8 (запись 2 го провайдера)

В итоге, при отключение основного провайдера всё работает, но лишь при одном условии-если я меняю в настройках клиента сервера для POP и SMTP с mail.domen.com на mail1.domen.com. Клиентов более 100 и каждый раз перенастраивать почту в почтовых клиентах сотрудника весьма проблематично. что можно сделать? как заставить систему понимать, что mail и mail1 это одно и то же?

vadiara
Цитата:

как заставить систему понимать, что mail и mail1 это одно и то же?

Она и не поймет, ибо это не одно и то же.
В случае приема почты тут все нормально, если не будет доступа к mail.domen.com, сервера попытаются передать почту mail1.domen.com
А вот с юзерами будет сложнее.
Можно конечно прописать так:

Код: smtp A 1.2.3.4
A 5.6.7.8
pop CNAME smtp
imap CNAME smtp

vlary

Цитата:

Вот только как поведут себя клиенты, когда первый айпи не будет доступен, непонятно

можно смартхост поставить на границе который будет релеить на вылет полноценным мта..

perdun
Цитата:

можно смартхост поставить на границе

Да при чем здесь смартхост?
Задача у человека стоит, чтобы клиенты подключались к pop.domen.com и smtp.domen.comвне зависимости от того, что один из провайдеров в дауне.

1) поставить низкий TTL в зоне и если чего - менять А-запись. Можно какой-нибудь скриптец сваять - чтобы на автомате.
2) купить автономную систему
3) использовать впн. Например тот же openvpn может коннектиться по списку айпишников.

З.Ы. самый правильный путь номер 2. но это дорого. Глупо закладывать такую надежность в технологию, которая изначально не подразумевает 100% гарантию доставку сообщения.

vlary
я имею ввиду, разделить локальную и внешнюю зону, ну будет смтп\поп.домен.ру внутри локалки резолвица в один серый адрес, про который тока и будут знать юзверя, а дальше уже маршрутизацией с контролем линков.. скриптом какимнить.. как tankistua и присоветовал.. почему бы и нет..

perdun
Цитата:

я имею ввиду, разделить локальную и внешнюю зону

Так это называется не смартхост, а split DNS. Надо быть точнее в формулировках.

vlary
эт как способ настройки днс..
без смарта, я думаю, не обойтись на границе..
он же и будет принимать решение, какому мта (основному\резервному) отдавать трафик навылет..
но это какбе "смарт вверх ногами"..

perdun
Цитата:

без смарта, я думаю, не обойтись на границе..

Ну ладно, пусть будет смарт, хотя я бы его назвал просто SMTP Relay only host.
В обчем, реализовать его элементарно на машине с двумя внешними интерфейсами.
Поскольку в качестве исходящего используется как правило один из интерфейсов,
то иметь два конфига на оба случая, и демона для проверки доступности инета на на интерфейсах.
При падении главного провайдера почтарь перегружается с другим конфигом и работает через резервного провайдера.
Когда ситуация устаканивается, все возвращается взад.
А на прием он как работал, так и будет работать благодаря двум МХ.
Ну и настроенному policy based routing, ессно.

vlary
в итоге мне вместо роутера надо поднять на какой нибудь локальной машине с 2мя сетевыми программный роутер?

vadiara
Цитата:

в итоге мне вместо роутера надо поднять на какой нибудь локальной машине с 2мя сетевыми программный роутер?

Ну, если роутер - циска или какой другой навороченный, то просто правильно его настроить.
А если домашняя "мыльницв", то да, лучше поставить линукс и настроить iproute2.

Встретил вот такие инструменты:

Apps Toolbox

Flush Google Public DNS
Flush Google DNS provides a way to flush the dns cache for a domain in the Google public DNS cache (8.8.4.4 and 8.8.8.8).

DNS Verification tools
Check MX is an easy to use DNS validation tool which looks for common MX record misconfigurations which users often make.

Помогите корректно настроить DNS, а то что то мешанина какая то получается. Попробую описать ситуацию (хозяйство досталось в наследство, поэтому извиняюсь за путаницу):
До недавнего времени в организации была рабочая группа, был настроен DNS сервер средствами Windows Server 2008 R2. На сетевом интерфейсе сервера были прописаны 2 адреса - внутренний "серый" и внешний "белый". За организацией закреплен домен 3 уровня firma.smr.ru и он же сайт получается который извне доступен по "белому" адресу. На DNS сервере была создана зона прямого просмотра firma.smr.ru и соответственно зона обратного просмотра с идентификатором сети "белого" диапазона, а так же на другом сервере в рабочей группе настроен WINS, и на DNS сервере прописана зона обратного просмотра с идентификатором сети "серого" диапазона.
Потом подняли домен так же на Windows Server 2008 R2, имя домена firma.local, на интерфейсе контроллера домена только "серый" адрес, настроили DHCP сервер, создали зону прямого просмотра firma.local, но получается, что зона обратного просмотра для firma.local находится на другом DNS сервере и на контроллере домена зона обратного просмотра не основная а дополнительная.
И собственно вопросы такие:
Провайдер говорит что за домен firma.smr.ru отвечает "белый" адрес который прописан на интерфейсе первого DNS сервера. На этом же сервере настроен почтовик и работает сайт.
1) Как разграничить внутреннюю и внешнюю dns зоны, а так же перенести зону обратного просмотра с первого DNS сервера на контроллер домена?
2) Как правильно сделать чтобы извне ресурсы которые опубликованы по внешним адресам так же остались доступны? Имею в виду сайт, почта чтобы приходила/уходила.
3) Как правильно сделать так, чтобы ресурсы опубликованные во внешней сети были так же доступны пользователям во внутренней сети? Тот же сайт например.
Приветствую наводящие вопросы, т.к. знаний по DNS крайне мало..

DieMaN
Цитата:

был настроен DNS сервер средствами Windows Server 2008 R2.

Убей это убожество, скачай нормальный BIND9 под винду.
Настраивается за пол-часа, работает без нареканий.
1) 2) 3) - используй Split DNS, BIND9 это поддерживает.
Создаешь 2 вьюшки для firma.smr.ru, для внутреннего и внешнего потребления.
Хостам в локалке она будет отдавать внутренние айпишники ваших ресурсов,
хостам снаружи - внешние.

Подскажите как грамотно настроить поддомен для локальной сети.
Имеем Windows Server 2008 R2, поднят домен company.local в нем я создал A запись типа Centi.company.local - 192.168.91.16
И теперь при обращении к данному http://centi/ открывается сайт.
Появилось на данном Web-server поднять еще один сайтец, как мне сделать правильно запись, чтоб при обращении из локали http://static.centi/ открывался чудо сайтец?
На веб-сервере всем управляет nginx.

Или же не парить себе мозг и придумать иное название для данного сайта на вебсервер и создать соответствующую запись в DNS сервере?

k3NGuru
Цитата:

Или же не парить себе мозг и придумать иное название для данного сайта на вебсервер и создать соответствующую запись в DNS сервере?

ИМХО, лучше не парить. Зачем тебе поддомены,
когда с помощью nginx ты можешь создать куеву хучу виртуальных серверов?

Цитата:

Появилось на данном Web-server поднять еще один сайтец, как мне сделать правильно запись, чтоб при обращении из локали http://static.centi/ открывался чудо сайтец?

1. удаляем А-запись Centi.company.local - 192.168.91.16
2. создаем А-запись *.Centi.company.local - 192.168.91.16 Да, так и пишем при создании *.Centi
После этого в корне сайта создастся папка Centi, где будет одна единственная А-запись 192.168.91.16 как папка верхнего уровня.
После этого переход по любому адресу из пространства *.Centi будет резолвиться как 192.168.91.16
Ну а тут тебе nginx в руки - его настройка выходит за рамки данного топика

Имеется домен myorg.loc, имеется шлюз в инет(локальный адрес 192.168.0.1, внешний, например, 1.1.1.1). На шлюзе поднят FTP сервер: ftp.myorg.ru, со стороны инета он видится, но с локальных адресов не заходит, однако заходит по IP (ftp://192.168.0.1). Как в DNS сервере прописать запись, чтобы пользователи из локалки могли обращаться на FTP по имени?

в зоне myorg.loc создать А-запись с соответствующим именем:
ftp A 192.168.0.1

serg53
Цитата:

Имеется домен myorg.loc, имеется шлюз в инет(локальный адрес 192.168.0.1, внешний, например, 1.1.1.1). На шлюзе поднят FTP сервер: ftp.myorg.ru

Умные люди давным-давно придумали технологию Split DNS,
позволяющую использовать myorg.ru как в качестве внешнего, так и внутреннего домена.
С нею из внешки люди по ftp.myorg.ru подключаются к айпи 1.1.1.1,
а изнутри - к 192.168.0.1. Очень удобно, кстати, особенно для тех, кто таскает с собой ноутбуки.

Цитата:

Умные люди давным-давно придумали технологию Split DNS

поскольку у меня dns-сервер ресолвит только локальные адреса, то я вообще заморачиваться не стал и создал в локальном пространстве имен зону myorg.ru (что, по сути, Split DNS в упрощенном варианте) и всякие www.myorg.ru, ftp.myorg.ru, mail.myorg.ru в пределах локалки резолвятся на локальные адреса.
Был вопрос:

Цитата:

Как в DNS сервере прописать запись, чтобы пользователи из локалки могли обращаться на FTP по имени?

откуда не понятно по какому имени?
я предположил, что по имени ftp, потому и дал такой ответ
Если добавить А-запись и настроит сплит, то резолвиться будут все имена: ftp, ftp.myorg.loc, ftp.myorg.ru