Re: [問題] 有辦法知道某比DNS快取是從那裡取得的嗎?

看板Network作者 (夏天到了,冷不起來了說)時間15年前 (2010/07/02 11:59), 編輯推噓2(2018)
留言20則, 1人參與, 最新討論串5/7 (看更多)
目前的架構是這樣子 LAN Firewall WAN ┌────────┐ │ ┌───────┐ │ AD,WINS,DNS │ │ │ │ │ Server │ │ │ SeedNet DNS │ │ 192.x.x.10 │ │ │ 代管 │ └┬──────┬┘ │ └┬──────┘ ┌┴─┐ │ │ │ │DHCP│ │ │ │ └┬─┘ │ │ │ ┌┴─┐ ┌┴─┐│ │ │電腦│----->│MAIL├┼───┘外部IP 61.x └──┘ └──┘│<------┐ └-------------------------┘ DNS 代管 : A email.xxxx.com.tw 61.x.x.x DNS Server: 域名 xxxx.com.tw A email 192.x.x.B A xxxxxxx 192.x.x.C 電腦 Primary DNS 192.x.x.10 正常: 電腦->(尋問DNS Mail內部IP) -> Lan -> Mail (192.x) 異常: 電腦->(DNS快取 Mail外部IP) -> WAN -> Mail (61.x) Firewall Block ※ 引述《n00298 (螺絲起子ww)》之銘言: : 所以說你目前的情況是 : LAN WAN : ┌──┐ ┌──────┐ : │電腦│────│SEEDNET的DNS│ : └──┘ └──────┘ : │ : ┌──┐ : │MAIL│ : └──┘ : PING MAIL這台主機,他解析出的位置為61.X.X.X : 取消DNS服務,再PING MAIL這台主機,則得到私人位置192.168.X.X : 你送封包給DNS要求名稱解析,如果DNS沒有這筆快取,就會去問ROOT : 利用DHCP,他也會配發給你一個DNS SERVER,也就是SEEDNET這個位置 : 當外部的WAN中有個跟你MAIL主機相似的位置時 : DNS自然會發給你那個由ROOT告訴他的"真實存在"的位置 : 當你取消DNS的服務之後, : PING你的MAIL : 這時你的電腦會利用"廣播"的方法去問你的網域 : 看裡面有沒有MAIL這台主機 : 當然你這台是真實存在的,他自然會回應你 : 如果確定是我敘述的這個情形的話 : 有幾種解決辦法 : 第一個就是直接修改你MAIL的名稱,避免誤判 : 第二個就是修改你本機一個叫HOSTS的檔案,預設路徑為 : C:\WINDOWS\system32\drivers\etc : 打開這個HOSTS的檔案(用記事本) : 在下面新增一筆資料 : 照著上面的範例打 : IP(你的MAIL主機IP) 主機完整名稱 : 直接將這筆資料寫入你的快取裡面就可以導向你要的位置 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.39.152.55
07/02 12:32, , 1F
既然你AD有DNS的解析功能 就建議把DNS指向內部的部份
07/02 12:32, 1F
把DNS代管取消..直接把xxxx.com.tw指向DNS Server?
07/02 12:32, , 2F
從DHCP Server指派第一組DNS為內部的AD Server
07/02 12:32, 2F
目前是如此
07/02 12:33, , 3F
然後你在AD那台的DNS設定Cache DNS Server就可以了
07/02 12:33, 3F
07/02 12:33, , 4F
這樣就可以讓AD DNS Server對外進行解析與回應的動作
07/02 12:33, 4F
07/02 12:33, , 5F
而內部的DNS再把內部的Mail Server指向private ip就可以了
07/02 12:33, 5F
設定也是如此
07/02 12:34, , 6F
市面上很多防火牆預設是禁止private ip直接從WAN端近來
07/02 12:34, 6F
07/02 12:34, , 7F
一般來說 設定hosts檔案也是一個辦法 但是每台都要這樣搞
07/02 12:34, 7F
07/02 12:35, , 8F
還蠻累的(除非你會使用AD的GPO-群組原則之軟體委派的功能)
07/02 12:35, 8F
07/02 12:35, , 9F
之前也搞過類似的方法~ 不過當時內部有DNS Server解析異常
07/02 12:35, 9F
07/02 12:35, , 10F
之後迫不得已才用GPO去指派一個批次檔到AD的各個member
07/02 12:35, 10F
w板友說的都跟公司目前的設定差不多... 只是偶爾會有不明原因造成某些PC的DNS快取跑到外部去.. 懷疑是公司內部有其它的AP去發送DNS訊息 或是mail server會把從代管那裡取得的dns散佈(mail有開啟DNS功能for 另一個域名) (很難追蹤啊 ="= )
07/02 12:36, , 11F
然後對各用戶端的hosts進行改寫的動作
07/02 12:36, 11F
07/02 12:36, , 12F
不過一般的解決方法就是剛剛我前面說的...
07/02 12:36, 12F
07/02 12:36, , 13F
內部的DHCP指派給內部用戶的DNS就是指向內部的DNS
07/02 12:36, 13F
07/02 12:45, , 14F
那你把內部的DNS的Cache DNS Server功能開啟了沒???
07/02 12:45, 14F
我再check看看
07/02 12:45, , 15F
用戶端的部份...用nslookup來解析看看
07/02 12:45, 15F
07/02 12:45, , 16F
由於用戶端是從DNS去解析Mail Server 與 Mail Server的
07/02 12:45, 16F
07/02 12:46, , 17F
解析無關
07/02 12:46, 17F
是由DNS Server解析的
07/02 12:49, , 18F
Mail Server沒有負責DNS的解析 不是嗎???
07/02 12:49, 18F
07/02 12:49, , 19F
解析Mail Server的是內部與外部的DNS
07/02 12:49, 19F
07/02 12:49, , 20F
但是~ 這跟Mail Server自身的解析無關就是了...
07/02 12:49, 20F
※ 編輯: JYHuang 來自: 114.39.152.55 (07/02 12:51)
更多 JYHuang 的文章
文章代碼(AID): #1CBMGSxl (Network)
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 5 之 7 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共7篇)
更多 JYHuang 的文章
文章代碼(AID): #1CBMGSxl (Network)