Обращаюсь к специалистам:
есть два сервера, оба DC. Между ними - доверительные отношения. На одном из них, Exchange 2000. Помогите с корректной настройкой ДНС!!!
Дело в том, что статический IP почтовика, виден извне вместе с IP, арендованным. Это не есть гут. Обновление зон между DC идет через пень-колоду! И, как следствие, сотрудники жалуются на работу почтовика.
Подними отдельный DNS-сервер для пользователей интернета, куда будешь прописывать, только то что нужно.
kenm,
так в том то и дело, что на одном сервере БД, а на втором почта. Часть пользователей действительно пользователей обращается ТОЛЬКО к БД, а часть работает ТОЛЬКО с почтой.
НО. Есть и такие, кому необходимы как почта, так и БД...
Что делать в таком случае?
Что и где у тебя внутри не имеет никакого значения.
Как я понял у тебя два DC один из которых является шлюзом в интернет и почтовым сервером.
Подними на том который не шлюз DNS-зону Active Directory твоего домена (если её там нет) для внутреннего использования, и перенастрой все внутренние машины чтобы глядели на неё , на шлюзе удали зону ActiveDirectory и подними простую DNS зону, на которую будут попадать внешние пользователи (и пропиши туда только то, что необходимо : MX, A твоего сайта (если есть) и т.п.) На первом DC настрой Forwarding на "внешний" DNS.
kenm,
Сейчас я интерпретирую сказанное тобой. Сервер А (почта+шлюз), сервер Б (БД). На обоих у меня DNS поднят. Оба ДНС интегрированы в АД. Настроены доверительные отношения.
Необходимо.
1. На сервере А имеющуюся зону, интегрированную в АД, понизить до основной. Там прописать запись А, МХ...
2. На сервере Б ДНС есть, интегрированная в АД. На ВСЕХ локальных машинах прописать статический адрес ДНС ТОЛЬКО ЭТОГО сервера.
3. Доверительные отношения удалить.
4. На сервере Б настроить форвардинг на ДНС сервера А.
Вроде как все. Только появился вопрос. Пользователь домена, где DC сервер Б (БД), логинится на этот сервер, у него прописан адрес ДНС этого сервера, благодаря форвардингу, пользователь логинится одновременно и на сервер А (почта+шлюз)?
И еще. Сервер А (почта) имеет свой статический IP, на внутреннюю сеть. В настройках его зоны ДНС везде "убить" записи типа А, с этим адресом, оставив только внешний IP?
Цитата |
1. На сервере А имеющуюся зону, интегрированную в АД, понизить до основной. Там прописать запись А, МХ... |
Цитата |
3. Доверительные отношения удалить. |
Цитата |
благодаря форвардингу, пользователь логинится одновременно и на сервер А (почта+шлюз |
Цитата |
И еще. Сервер А (почта) имеет свой статический IP, на внутреннюю сеть. В настройках его зоны ДНС везде "убить" записи типа А, с этим адресом, оставив только внешний IP? |
kenm,
Если можно, по-подробнее об разделении ДНС на внешний и внутренний: следует на шлюзе поднять дополнительную зону?
Т.е. на домене А (почта), в консоли Домены и доверие, будет не только зона сервера Б, зона сервера А (наружу), но и еще одна зона сервера А, только внутрь?
kenm,
ошибся немного - не в Домены и доверие, а в ДНС...
Прошу прощения.
Цитата |
но и еще одна зона сервера А, только внутрь |
kenm,
Во-первых, благодарю за квалифицированную консультацию, спасибо!
Во-вторых, рискуя надоесть со своими вопросами, спрошу.
Где-то на этом сайте, если не ошибаюсь, встретил описание настроек доверительных отношений. Там говорилось, что необходимо перенести зону сервера 1 в настройки консоли ДНС сервера 2, и наоборот.
Ты написал, что доверительные отношения "убивать" не надо. А потом, что на сервере А д/б настройка зоны ДНС для "почтового" сервера (арендованный IP), никаких внутренних статических.
На сервере Б, напротив, своя зона, плюс зона сервера А, только обращенная "внутрь" сети (никаких упоминаний о внешних IP)!
Так о каких доверительных отношениях можно говорить, если на сервере А, зоны сервера Б не будет?
Выходит, что единственным сервером ДНС для разрешения имен "внутри" будет однозначно Б, так? И у пользователей в настройках сети везде явно указать IP сервера Б, для разрешения?
Но! На сервере А ОБЯЗАТЕЛЬНО должна быть зона серврера Б! По-моему в этом суть доверительных отношений. Иначе как пользователи сети смогут авторизоваться на почтовике?
Сейчас нигде в настройках явно не прописан статический IP ни одного из внутренних ДНС серверов. Поэтому они ОБА полномочны разрешать имена пользователей ОБОИХ доменов.
Извини, может я в глубоком заблуждении?
yustus_777,
- DNS предназначен для разрешения имен в IP-адреса, и к доверительным отношениям он имеет очень маленькое отношение, а вот к тому что-бы два домена-контроллера могли взаимно разрешить имена друг друга, очень большое...
Цитата |
Но! На сервере А ОБЯЗАТЕЛЬНО должна быть зона серврера Б |
kenm,
Подскажите пожалуйста, IP адрес сервера Б на каждом клиенте явно указывать? Или при соответствующей настройке (о которой говорилось в этом обсуждении), клиент первоначально будет обращаться за разрешением к ДНС сервера Б?
Спасибо.
yustus_777, см. выше.
yustus_777
Ты немного не корректно объясняешь, чего тебе требуется. Как я понял твою проблему.
Есть два сервера с разными доменными именами и поднятыми на них AD:
Сервер А - почтовый сервер и рутер - домен1.ru (Д1)
Сервер Б - сервер баз данных - домен2.ru (Д2)
Между ними настроены доверительные отношения.
Требуется, чтобы Д1 не "светил" локальными адресами в и-нет.
Сразу вопрос: зона Д1 является официально зарегистрированной и ты держишь ее у себя?
Egor,
1. Прошу пощения, за непроставленную ссылку.
2. Да, зона Д1 официально зарегистрированная, и у себя я ее не держу.
У этой проблемы два аспекта.
1. Да, два доменных имени, два АД, два ДНС. Доверительные отношения. И при проверке тем же nslookup, в инете светятся два IP - выданный провайдером, и наш, на внутреннюю сеть.
2. Из прочитанного в конференции, для меня возникла дилемма - доверительные отношения создаются переносом зон каждого из серверов друг к другу. А мне присоветовали на почте оставить только внешнюю зону (?), а на сервере Б оставить две зоны - и сервера А и сервера Б.
Задача у меня такая. Пользователь сервера Б, логинится, получает адрес или на А, или на Б, тем самым получая доступ к почте (Exchange), если ему необходимо. Или работает с БД.
Цитата |
доверительные отношения создаются переносом зон каждого из серверов друг к другу |
1. На одном DC нельзя поднять две разные AD. Это тебя kenm немного не правильно понял. Он рассказал про вариант с одним доменом и двумя DC.
2. Поскольку зону ты держишь не у себя, смело закрывай на проксе (кстати, у тебя стоит прокся на рутере?) 53 порт, можно и по UDP тоже. Руби на внешней карточке NetBIOS. Этого будет достаточно, чтобы светить "толко" внешним IP.
kenm,
что тут сказать... читано "талмудов" огромное количество. И сейчас как кирпичи вокруг лежат, меня не видно)
Возможно я утрирую, насчет прямого копирования зон. Сейчас на почтовике у меня есть записи хостов как внутреннего, так и внешнего. Эта же зона есть на сервере БД, как резервная зона прямого просмотра. И наоборот. На сервере БД есть резервная зона для почтовика.
ДНС настроен неправильно - спору нет. Иногда по сети некоторые локальные машины не вижу. Что-то типа "Target name incorrect".
Доверительные отношения, настроенные сейчас, не позволяют корректно работать ни почте, ни внутри локальной сети.
Вот я и мучаюсь, каким образом разнести зоны по двум серверам, чтобы пользователи имели одновременный доступ как БД, так и к почте.
На один сервер ставить не получается. Был такой советчик, отстаивал свою правоту, пока Exchange не свалил!
Egor,
Прокси у меня организован посредством WinGate. Для этого есть и отдельный комп, и свой IP. Exchange стоит на отдельно серваке, со свои адресом. Все это за Cisco-ой 1720 находится.
Вопрос: где что рубить?)
kenm,
но как быть с этим?
http://forum.wincity.ru/index.php?act=ST&f=3&t=1687&hl=доверия
http://forum.wincity.ru/index.php?act=ST&f=3&t=2565&hl=доверия
Egor,
Проверил, на WinGate 53 порт закрыт..(((
Из локалки проверял или с наружней машины?
Так... Расскажи полностью топологию сети. Как-то не правильно "выяснять", что конечным рутером служит циска
Цитата |
На одном DC нельзя поднять две разные AD |
Egor,
Итак, в здании работают две организации. У каждой есть свой сервер.
1. Первый или сервер А: (W2kSrv SP3+Exchange 2000), два интерфейса, инет + локалка.
2. Второй или сервер Б: (W2kAS SP4), два интерфейса, один отключен, второй локалка.
3. ПК, (W2kPro+Wingate 4.4.1) имеет два интерфейса, инет+локалка - прокси.
дальше,
4. все перечисленные машины заведены на коммутаторы Cisco 2924
5. а вот далее следует маршрутизатор Cisco 1720 и на ISDN.
Адресное пространство разделили так: 192.168.1.2 - 192.168.1.99 - пространство обслуживаемое сервером А, 192.168.1.100 - 192.168.1.200 - пространство обслуживаемое сервером Б.
Пожалуй все, остается добавить, что адреса (внешние) и ПК с Wingate и с Exchange 2K прописаны в 1720. Так что почта отдельно, инет отдельно.
Давно-бы так, просто и понятно... наверное
Реально, после циски, у тебя существует два рутера. А дальше, методом исключения, мог сам догадаться кто из них светит локальными адресами.
Ставь на Exchange проксю, либо закрывай на циске 53 порт по протоколам TCP и UDP. Больше никак. Это быстрый вариант. Есть еще один. Воткнуть в ПК еще один интерфейс и пустить Exchange через него.
Egor, спасибо)
А то, что в настройках зон прямого просмотра есть записи узла А как внутреннего, так и внешнего интерфейса, это нормально?
Т.е. в Events-ах я смотрю, что периодически происходит перенос зон в файлы C:\WINNT\system32\dns\mydomen.dns на обоих серверах, сейчас это дело прекратилось. ДНС сервер запущен и все тут!
Или в зонах прямого просмотра должны фигурировать только записи типа А, МХ, NS, SOA для внутреннего интерфейса?
Пожалуй даже без МХ...
Это нормально. Недостаток динамической регистрации или недоработка мелкомягких. Даже если ты уберешь Register this connection's addresses in DNS, все равно в зоне прямого просмотра остается А запись (same as parent folder). Единственно, что можно сделать, это запретить в DNS обрабатывать внешний интерфейс.
Egor,
а то, что при просмотре сети кликаешь на какоq-нть комп, а в ответ "Target name incorrect" быть?
Явно проблема с ДНС...(
А ты посмотри. Если на nslookup "полное имя компа", nslookup "нетбиос имя компа" и nslookup "IP компа" информация выдается верная, значит DNS работает нормально и надо разбираться со службой Computer Browser.
Egor,
когда все это набрал с локальной машины (ее полное имя, НЕТБИОС-имя, IP) - все показало нормально. Как только с этой же машины стал набирать IP (внешний), почтовика, то в ответ пишет название сервера, потом его ВНУТРЕННИЙ IP, затем пауза, и DNS request time out, timeout was 2 seconds.
Когда же набрал nslookup имясерврера.мойдомен.ру выдал такое:
Server: имясерврера.мойдомен.ру
Adress: IP внутренний
Name: имясерврера.мойдомен.ру
Adresses: IP внутренний, IP внешний.
???
Egor,
и еще один момент, если можно)))
набираю повторно, в тойже сессии: nslookup IP внешний
и,
Server: мойсервер.мойдомен.ру
Adresses: IP внутренний
мойсервер.мойдомен.ру can't find IP внешний: Not exist domain
Похоже ДНС...(
Так точно - DNS. А если точнее, настройки сетевых. Твой DNS не знает как идти во внешний мир.
Конкретно по твоему имени домена. У тебя имя внутреннего домена и имя внешнего (зарегестрированного) домена совпадают?
Egor,
да, имена совпадают: имя домена для выхода в инет и для внутреннего пользования - одно и тоже.
Тогда брейся . Во внутренней сети nslookup всегда будет показывать твой внутренний домен. На крайний случай, для HTML странички (если хоститесь на стороне) можно прописать LMHOSTS.
C:\WINNT\system32\drivers\etc\hosts
127.0.0.1...............localhost
IP где он лежит....www.твой домен.ru
Egor,
это-то верно, но ведь внутренний IP виден из вне (дома пробовал!).
Закрывайся, я тебе уже говорил. Иначе у прововского DNS начнет крыша подъезжать, да и ты поимеешь проблемы и не только со связью. Я удивляюсь, что тебе провайдер еще свое фэ не выссказал.
Egor,
не подскажешь какое-нть ПО для управления циской 1720?
Иначе придется фильтрацию в настройках TCP/IP по 53 порту по протоколам TCP и UDP включать?
А разве CISCO 1720 умеет настраиваться? Это-же обычный рутер без прокси и фаервола.
Egor,
файервол там вроде как есть, внутри...
и управлялся посредством веб-интрефейса...
Egor,
как же закрывать 53 порт на нем, если он не управляемый?
х.б.з. Тут я тебе посказать ничего не смогу, извини.
Цитата |
не подскажешь какое-нть ПО для управления циской 1720 |
Egor, kenm,
Благодарю за исчерпывающие ответы. Очень приятно было с Вами общаться!
Если возникнут вопросы, позволите у Вас проконсультироваться?
yustus_777, нема за че.
А если не позволим, не будешь в форуме вопросы задавать?
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)