» Всё о DNS

Paromshick В ответ на твой вопрос
Это вполне возможно, используя ISC Bind9. Создаем две view, внешнюю и внутреннюю.
Во внешней размещаем зону domain.ru с внещними айпишниками.
Во внутренней указываем для зоны domain.ru тот же файл, что используется для domain.local.
Естественно, в этом файле не должен быть жестко прописан домен, а как-то так:

Код: $ORIGIN .
$TTL 86400    ; 1 day
@        IN SOA    ns.domain.local. root.domain.local. (
                2010020500 ; serial
                28800 ; refresh (8 hours)
                10800 ; retry (3 hours)
                604800 ; expire (1 week)
                86400 ; minimum (1 day)
                )
@            NS    ns.domain.local.
@            A    192.168.1.1
@            MX    0 mail.domain.local.
ns            A    192.168.1.1
mail            A    192.168.1.2
host1            A    192.168.1.10
host12        A    192.168.1.11

Здравствуйте.
Подскажите, когда целесообразно использовать dns сервер под unix, а когда роль dns под windows server?

Цитата:

Подскажите, когда целесообразно использовать dns сервер под unix, а когда роль dns под windows server?

Всегда целесообразно чтобы был не один единственный днс сервер, особенно если он на Унылой и НЕправильной системе.
Самое правильное решение: на никсах держать слэйв-зону вендозных причендалов (srv-записи) и мастер-зону (прямой\обратный резолв).
Всегда нужно быть готовым, что ваша замечательная венда в любой момент на*бнется по самым непредсказуемым причинам..
например, санкции введут

А как в BINDе автоматически сделать добавление и изменение записей? Я так понимаю в виндовом днс автоматически записи добавляются и изменяются в соответствии выданными адресами по DHCP (поправьте если неправ), а в Binde вручную каждый адрес вбивать?

tserg62ru Читать доки по настройке, например
http://www.theadmin.ru/linux/kak-podruzhit-dns-bind9-i-kontroller-domena-windows-2008r2/
упор на key DHCP_UPDATER

Приветствую товарищи.

Подскажите как быть.
У нас телефонию предоставляет отдельный провайдер, они поставили свой IP шлюз, он находится в нашей локальной сети, дали ему статику, в firewall прописал правила для данного IP. Само устройство настроил провайдер. Какие там настройки я не знаю.
Созвонился с провайдером телефонии, говорят, что запросы на сервер уходят, но ответ не приходит. Позже выяснили, что на стороне интернет провайдера якобы не правильно настроена обратная зона. Вот какой результат команды dig:

Код:
root@kenglab:~# dig -x 77.235.201.94

; <<>> DiG 9.9.5-3-Ubuntu <<>> -x 77.235.201.94
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37679
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUES TION SECTION:
;94.201.235.77.in-addr.arpa. IN PTR

;; ANSWER SECTION:
94.201.235.77.in-addr.arpa. 21599 IN PTR 94.201.Novokuznetsk.ptl.ru.

;; Query time: 162 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Mon Sep 01 04:05:46 EDT 2014
;; MSG SIZE rcvd: 95

root@kenglab:~# dig 94.201.Novokuznetsk.ptl.ru

; <<>> DiG 9.9.5-3-Ubuntu <<>> 94.201.Novokuznetsk.ptl.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47564
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;94.201.Novokuznetsk.ptl.ru. IN A

;; ANSWER SECTION:
94.201.Novokuznetsk.ptl.ru. 21599 IN A 213.170.105.110

;; Query time: 211 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Mon Sep 01 04:06:41 EDT 2014
;; MSG SIZE rcvd: 71

k3NGuru Для телефонии имхо обратный резолвинг не нужен. Обратка нужна для почтовиков. Проблема имхо на вашем сервере. Если все же нужна обратка, то PTR делает провайдер, если быть совсем точным, то владелец пула Ip-сети. Не всегда владелец пула сам провайдер, но обращаться нужно к провайдеру.

Дома стоит машина с Windows Server 2012 R2 с фиксированным IP на провайдере Beeline.
Beeline раздает инет через VPN L2TP т.е. все сервера и службы стартуют раньше чем L2TP подключение. Может это как то связанно. Проблема в том что сайты которые висят на этом сервер из внешней сети не открываются. Домены делегированы на DNS хостинг Яндекса.
Вобщем DNS пишет такую ошибку:
"DNS-серверу не удалось связать сокет для работы по протоколу UDP. В данных события содержится код ошибки. Перезапустите DNS-сервер или перезагрузите компьютер."
перезапуск DNS сервера не помогает.
Также не запускается служба Пространство имен DFS.
Помогите пожалуйста решить пролемы чтобы сайты открывались.

Цитата:

Дома стоит машина с Windows Server 2012 R2 с фиксированным IP на провайдере Beeline.  

Ну и зачем там нужен DNS сервер? Провайдерского или гугловского вполне бы хватило
Цитата:

Домены делегированы на DNS хостинг Яндекса.

Вот там и надо прописывать свои хосты, если речь идет о том,
чтобы твои ресурсы были видны из интернета. Зачем городить огород со своим DNS?

vlary
Я прописал свои хосты на Яндекс.DNS. Добавил запись @ и WWW указав фиксированный IP машины. и ресурсы все равно не открываются из внешней сети. я так думаю из за того что все ресурсы на машине стартуют раньше чем VPN L2TP внешнее подключение билайна.

maxg555
Цитата:

я так думаю из за того что все ресурсы на машине стартуют раньше чем VPN L2TP внешнее подключение билайна.

Вполне логично, и скорее так оно и есть. Следовательно, либо после поднятия соединения нужно рестартовать службы,
чтобы они могли слушать на новом адресе, либо полностью перенести службы
во внутреннюю сеть, для установки L2TP использовать роутер, и пробрасывать сервисы
наружу через НАТ.

vlary

Цитата:

после поднятия соединения нужно рестартовать службы

Я думаю мне этот вариант больше всего подходит.
Как реастартовать DNS я разобрался. А как реастартовать AD DS и IIS?


Добавлено:
Перезапустил DNS, в диспетчере DNS выбрал все задачи->Перезапустить
Перезапустил IIS, в диспетчере IIS вначале остановил IIS, затем запустил.
Перезапустил AD DS - перезапустил службу Доменные службы Active Directory.
Нужно ли еще какие либо сервисы перезапускать?
Сайты которые хранятся на сервере из внешней сети все равно не доступны.
И служба "Пространство имен DFS не запускается". Может в ней вся проблема?

Цитата:

Перезапустил DNS, в диспетчере DNS выбрал все задачи->Перезапустить
Перезапустил IIS, в диспетчере IIS вначале остановил IIS, затем запустил.
Перезапустил AD DS - перезапустил службу Доменные службы Active Directory.
Нужно ли еще какие либо сервисы перезапускать?
Сайты которые хранятся на сервере из внешней сети все равно не доступны.
И служба "Пространство имен DFS не запускается". Может в ней вся проблема?

это вы собираетесь делать после каждой перезагрузки?

maxg555
Цитата:

Перезапустил AD DS - перезапустил службу Доменные службы Active Directory.

У вас там еще и Active Directory, на три с половиной компьютера?
Да еще и высунутая наружу?

..тут пришел Ржевский и всё опошлил

Извините, может не в тему, но...
Есть адрес вида:

185.45.165.138:8080

При переходе по нему получаю в браузере ошибку:
:::::::::::::::::::::::::::::::::::::::::::
ERROR: Unauthorized

While trying to retrieve the URL http://185.45.165.138:8080/:
There is a loop in network for HTTP traffic. Check your network topology and proxy & firewall configuration
Your cache administrator is webmaster.
:::::::::::::::::::::::::::::::::::::::::::
Как узнать адрес в буквах?

PAC_PUTIN

Цитата:

Как узнать адрес в буквах?

Если Windows, то nslookup 185.45.165.138
Если Linux, то host 185.45.165.138

Ага. Есть.
А как-то через Интернет, а не через комстроку компьютера, тоже самое можно?

PAC_PUTIN
Цитата:

Как узнать адрес в буквах?

Адрес в буквах называется имя
В общем случае узнать его достаточно сложно, ибо одному адресу может
соответствовать 100500+ имен (читай в википедии про виртуальные хосты)

Цитата:

А как-то через Интернет, а не через комстроку компьютера, тоже самое можно?

Есть специальные сервисы, которые имеют базу данных,
в которых на основе анализа запросов хранится соответствие имен адресам.
Точной ссылкой на такие сервисы не располагаю, поищи, возможно, найдешь.

Да я бы поискал... по ключевому слову ИМЯ?

PAC_PUTIN
оно по-русски называется имя. а искать -

Цитата:

Если Windows, то nslookup 185.45.165.138

nslookup online в гугле.

PAC_PUTIN
http://2ip.ru/domain-list-by-ip/
В вашем случае даже nslookup молчит.

PAC_PUTIN
Цитата:

Да я бы поискал... по ключевому слову ИМЯ?

Не все так просто! Ладно, держи, нашел для тебя
Reverse IP Domain Check
Но должен тебя огорчить, на адресе 185.45.165.138 сервис вообще
ни одного домена не выявил. Для 213.180.204.3, например, выдал 50 штук имен.

PAC_PUTIN
Добавлю еще вот что; не обязательно вашему адресу будет сопоставляться доменное имя, т. е. на этом адресе может быть доступен какой либо сервис (http, proxy и т.д.), но у этого адреса может не быть имени.

Тот адрес (185.45.165.138:8080) был мной немного изменен)
в целях конспирации)

С остальным понятно.
Странно только звучало, что мой компьютер через комстроку имя найти может сразу, а вот в Интернете сложно найти некую "базу"?!

urodliv Какой-то ущербный этот 2ip.ru. У меня на айпи сидят 3 виртуальных хоста,
не нашел ни одного. Тот, что по моей ссылке, хотя бы 1 из них показал.
PAC_PUTIN
Цитата:

Странно только звучало ...

Это от недостатка понимания. У айпи может быть только
одно имя, так называемое PTR, которое фиксируется в DNS и моментально ищется
стандартными средствами.
Остальные 100500+ имен, которые также можно повесить на айпи, этим свойством не обладают.
С помощью DNS можно найти айпи по этим именам, а наоборот - никак.
Пример - бумажный телефонный справочник на 1000 страниц, где по алфавиту
расположены Ф.И.О. с номерами телефонов. Зная Ф.И.О, телефон найдешь в одно касание, а зная только телефон, Ф.И.О. искать будешь месяц.
Короче, инструмента для обратного поиска нет, вот и требуется база данных.

Цитата:

С помощью DNS можно найти айпи по этим именам, а наоборот - никак.

Вот тут не совсем точно. Запрос уходит ns-серверу в соответствующую зону, а дальше сервер отдает по одной записи на каждый запрос по очереди. На рекурсивный запрос сервер отдаст все PTR-записи для данного адреса.

Код: C:\Users\user>nslookup -d 192.168.20.1
------------
Got answer:
HEADER:
opcode = QUERY, id = 1, rcode = NOERROR
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0

QUESTIONS:
2.20.168.192.in-addr.arpa, type = PTR, class = IN
ANSWERS:
-> 2.20.168.192.in-addr.arpa
name = sr-dc0.geltd.local
ttl = 1200 (20 mins)

------------
Server: sr-dc0.geltd.local
Address: 192.168.20.2

------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NOERROR
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 5, authority records = 0, additional = 0

QUESTIONS:
1.20.168.192.in-addr.arpa, type = PTR, class = IN
ANSWERS:
-> 1.20.168.192.in-addr.arpa
name = 202020.ru
ttl = 3600 (1 hour)
-> 1.20.168.192.in-addr.arpa
name = mx.202020.ru
ttl = 3600 (1 hour)
-> 1.20.168.192.in-addr.arpa
name = www.202020.ru
ttl = 3600 (1 hour)
-> 1.20.168.192.in-addr.arpa
name = mail.202020.ru
ttl = 3600 (1 hour)
-> 1.20.168.192.in-addr.arpa
name = mail.geltd.local
ttl = 3600 (1 hour)

------------

MAGNet
Цитата:

Вот тут не совсем точно.

Имена виртуальных хостов не имеют никакого отношения к PTR в .in-addr.arpa !
И иметь более одной PTR для айпи возможно, но крайне некошерно.
Например, для почтового сервера это путь к большому геморрою.

MAGNet
Не смотря на то, что rfc на DNS не запрещает иметь множество PTR записей для одного ip, это не рекомендуется делать без веских потребностей т.к. не каждый софт правильно будет с этим работать.

vlary, Alukardd речь как раз о том и идет, что делать так можно, т.е. о возможности, но не о правильности. у меня как раз с почтой такой гемор, который был нагорожен ещё до меня и не разгребаю я его только потому, что "работает - не трогай", ибо самые главные какушки подчищены и стабильность достигнута.