» Всё о DNS

в сети чуть более 100 компов все в одной рабочей группе
поднял на 2003 ЕЕ сервере днс (инет не раздаю, актив директори в перспективе))
вот как бы настроить днс для самой оптимальной работы локальной сети (чтоб не было широковещательных адресов нетбиосов и другого мусора в сети )

Уважаемые, а не подскажете, по какой причине после перезагрузки домен контроллера на вин2к3 могло появится в логах вот это "The zone s.local was previously loaded from the directory partition MicrosoftDNS but another copy of the zone has been found in directory partition DomainDnsZones.s.local. The DNS Server will ignore this new copy of the zone. Please resolve this conflict as soon as possible."

???

mkolesov http://www.fots.nl/index.php/archive/event-id-4515-dns-error-windows-2003/

Как лечить - понятно. Я тупо из ад вынес/внес - починилось. Но вот причина в чем? Где косяк?

mkolesov
У тебя один домен контроллер?

помогите настроить ДНС плиз. очень буду благодарен.
есть следующее: куплен домен второго уровня (firma.com)
у регистратора прописаны два чайлд NS (ns1.firma.com и ns2.firma.com)

дедик с двумя айпишками из разных подсетей (111.222.333.444 и
(111.222.555.444)
на дедике установлены win2003 (DNS, Apache)

требуется чтоб при наборе firma.com из инета отвечал мой апач по адресу 111.222.333.444

перепробовал всё! не хавают мою настройку ДНСа. при наборе firma.com открывается парковочная страница регистратора. бьюсь уже неделю!

Уважаемые, а есть разница в работе днс сервера на в2к3 если в одном случае зоны имеют вид:

pdc
forward...
_ms...
domain
_ms...

Или

pdc
forward...
domain
_ms...

Первый результат получен при установке ад вместе с днс, второй после днс. Разницы в работе на первый взгляд вроде никакой. А тогда - смысл всей конструкции?

ColdBlooded

Config Dns прова покажи.

Подскажите, надо закрыть open dns (т.е. что бы снаружи он разрешал только имена своего домена, а не весь мир), по поиску надыбал что для этого надо разрешить рекурсию только со своих ip адресов примерно так
Код: cl "trusted" {
ПервыйIP;ВторойIP;127.0.0.1;
};
options {
allow-recursion { trusted; };
allow-notify { trusted; };
allow-transfer { trusted; };
#где ip - адреса днс сервера

Тебе нужно юзать аксели и опцию view !
Во view для локали и для внешнего доступа должны быть перечислены все зоны, которые им можно смотреть ! Они практически должны быть продублированы для локального view . Читай статью там все хорошо расписано с примерами. http://www.cymru.com/Documents/secure-bind-template.html

ipmanyak
с акселем понятно, указываю свою подсеть внутреннюю (и наск понимаю ip адреса днс как внутр. так и внеш.)
Код: acl "trusted" {
ПервыйIPdns;ВторойIPdns;127.0.0.1;192.168.1.0/24;
};
options {
allow-recursion { trusted; };

Мущины, так что на счет зон?

greenfox читай статью - поймешь зачем ! кому ты аксель то дашь? вот опции view и дашь

Добавлено:
mkolesov ваш вопрос не совсем понятен ! Не нравится последовательность подзон иил что ? Если в этом вопрос - то пофиг!

ipmanyak

Цитата:

greenfox читай статью - поймешь зачем ! кому ты аксель то дашь? вот опции view и дашь

ну так в статье вроде trusted висит на опции allow-query. Я же allow-query даю всем (any) а уже allow-recursion (trusted;)
Насколько я понимаю это примерно одно и тоже - т.к. рекурсию смогут сделать только внутренние клиенты то и соот-но разрешиь внешние имена смогут только они, а внешние соединения будут проходить только по моей зоне (ибо она и без рекурсии разрешится). Так?
------------------------------
похоже view нужен для того что бы вышеописанное можно было реализовать на одном сервере.
у меня просто внутрен. и внеш. сервера разные машины, соот-но мне можно обойтись наверно и вышеописанным мной способом?

ipmanyak
Переформулирую - смысл этого нагромождения "зона сверху зона снизу" в чем?

Проблема: есть домен. DC вин2003. На нём поднят AD, DNS, DHCP. Его адрес - 192.168.0.201. Также в сети (не в домене) есть интернет-шлюз с внутренним адресом 192.168.0.21. На нём соответственно тоже поднят DNS для трансляции внешних имён. На DC в свойствах сетевого подключения первичный адрес DNS указан на себя (т.е. 192.168.0.201). В оснастке DNS в свойствах зоны указал форвардинг на шлюз (192.168.0.21). В итоге в таком виде при прогоне nslookup на сервере вижу следующее

Код: C:\Documents and Settings\Administrator>nslookup f624
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.0.201: Timed out
Server: UnKnown
Address: 192.168.0.201

Name: f624.cbts.local
Address: 192.168.0.201

wrunets
а что ты видишь? Вопрос то в чём? Имена у тя разрешаются...
а Запись вида " DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.0.201: Timed out " говорит о том что у тя для твой сетки не поднята обратная зона и соот-но dns сервак не может разрешить ip в имя...

мне надо чтоб на компах был только один адрес DNS - контроллера домена. А запросы в тырнет форвардились через него же на шлюз.

Цитата:

говорит о том что у тя для твой сетки не поднята обратная зона и соот-но dns сервак не может разрешить ip в имя...

а как её правильно поднимать? Она должна быть праймари или стаб-зоной? Что такое network-ID и откуда его брать? может есть где почитать про обратные зоны, а то я толком не понимаю что енто...

Цитата:

Что такое network-ID и откуда его брать

если у тебя сетка 192,168,0,0- то это и есть ID сети

Цитата:

Она должна быть праймари или стаб-зоной?

она должна быинтегрированной в AD

Цитата:

может есть где почитать про обратные зоны

погугли немного или вот здесь почитай http://pw.bafa.ru/articles/a308201.shtml

огромное спасибо! проблема разрешилась!

добавлено:
Хм... разрешилась наполовину. Счас указал в настройках DHCP давать компам адрес только внутреннего ДНС-сервера (192.168.0.201). В настройках ДНС в форвардинге по-прежнему установлена пересылка на внешний ДНС (192.168.0.21). nslookup внутри сети проходит, а в интернет нет, соответственно и тырнета никто не видит. Это может быть связано с тем что шлюз не входит в домен?

Помогите решить проблему попали в спам листы DSBL, требуют :
86.57.164.xx has no reverse DNS entry; some mail servers may not accept your mail.
Провайдер прописал обратную зону.
nslookup на сервере пишет
C:\Documents and Settings\Administrator>nslookup domain.by
Server: srv1.domain.by
Address: 86.57.164.xx

Name: domain.by
Address: 86.57.164.xx

C:\Documents and Settings\Administrator>nslookup 86.57.164.xx
Server: srv1.domain.by
Address: 86.57.164.xx

Name: srv1.domain.by
Address: 86.57.164.xx

В чем может быть проблема????

wrunets

Цитата:

Это может быть связано с тем что шлюз не входит в домен?

врядли... скорее всеготу тя в настройках внешнего днс что-то не то...
зайди nslookup -ом на сервак этот и попробуйй разрешить имя какое-н... о рез-тах напишешь + укажи что за внешний днс у тя стоит...

VIT_DO82 www.dnsstuff.com там проверь ip по обратке - кнопа Reverse DNS lookup! если нету - значит ничего твой пров не прописал или зона еще не распространиалсь по инету - требуется 2-3 суток

ipmanyak
Провайдер говорит что прописал. Уже больше месяца бьюсь. Какие данные сбросить? Очень нужна помощь.
Правда вот такая ошибка в событиях появилась.

Event Type:    Warning
Event Source:    LSASRV
Event Category:    SPNEGO (Negotiator)
Event ID:    40960
Date:        07.03.2007
Time:        0:05:41
User:        N/A
Computer:    SRV1
Description:
The Security System detected an authentication error for the server DNS/ns1.grodno.by. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 5e 00 00 c0 ^..À

Люди помогите, сложилась след.ситуация: есть большая сеть, с рабочими группами, стоит задача постепенно перевести ее в доменную сеть. Ставлю контроллер домена с ДНС, ввожу рабочие станции - все ок. Но вот нужно организовать такую работу когда пользователи домена будут видеть машины из рабочих групп(это временно но без этого никак).
ДЛя машин домена прописан ДНС кот. поднят на контроллере (допустим 192.168.168.20), машины не в домене используют другой ДНС (192.168.168.1), понятно что одному ДНСу нужно указать на другой, но вот вопорс какому именно, и как сделать чтобы машины из домена и раб. группы видели друг друга в боих направлениях!!!
Основным ДНСом явл. 192.168.168.1 т.к. в нем зарегены все машины сети, ну кроме тех кот. потихоньку переходят в AD.
И еще вопросик, часто возникает такая ситуация, что машина нормально мигрирует в АД, однако в его ДНСе она не регистрируется ни в прямой ни в обратной зоне, однако после устновки галочки в св-вах соединения "Добавлять суффикс при регистрации в ДНС" регистрация проходит удачно, это вообще нормальная ситуация???

sleepman

Цитата:

Но вот нужно организовать такую работу когда пользователи домена будут видеть машины из рабочих групп

Прописать один WINS и DNS для всех и сделать так, чтоб имя домена совпадало с именем рабочей группы (сильно помогает). Дальше уже вопрос расшаривания.

Спасибо попробую... дело в том что после того как контроллеру прописал ДНС не тот который с ним ставился, а главный который юзался и раньше, то через время на него была вытянута автоматом вся ветка с днс настройками домена.

День добый, нужен совет.

Есть домен на 2к3 сервере. На нем же днс. Дхцп поднят на юниксе. Мне от него нужны динамические обновления указателей. Существует ли возможность при включенной опции "только секьюрные обновления" заставить работать такую связку. При не секьюрных обновлениях все работает на ура. Но это не есть хорошо. Секьюрность прикрутить можно? Как? Я - виндовый админ. На юниксе свой.

Спасибо.

mkolesov
http://www.ops.ietf.org/dns/dynupd/secure-ddns-howto.html
это?

greenfox кхм... наверное - нет.

Добавлено:
Если кому интересно, почитал - никак они вместе не работают. (