點數(17)
請大家幫忙一下,因為我在網路上趴文都沒找到解決方法。
※※※※事由※※※※
公司架一台windows2003的dns(例:ip為192.168.1.1),給公司內部使用。
dns設forwarder為168.95.1.1 hinet dns。
※※※※問題※※※※
公司電腦設192.168.1.1為dns時,內部網頁ok,外部網頁不行。
若設168.95.1.1就可以了。
第一個想法就是dns有問題,可是看了設定應該沒什麼太大的問題(windows dns裝了很多次了)。
※※※※找問題過程※※※※
在那一台dns用nslookup檢查:
解析yahoo網址
> tw.yahoo.com
Server: dns.example.com
Address: 192.168.1.1
Name: com.org.tw
Address: 67.205.9.118
Aliases: tw.yahoo.com.org.tw(怎麼會自己加org.tw,還有解析的ip也不對)
>>nslookup -type=ns com.(後面有一個點喔)
得到的就是:
Non-authoritative answer:
com nameserver = l.gtld-servers.net
com nameserver = a.gtld-servers.net
com nameserver = m.gtld-servers.net.......常見的root server,正常。
>>nslookup -type=ns com(後面沒有一個點喔)
得到的卻是:
Non-authoritative answer:
com.org.tw nameserver = ns3.dreamhost.com
com.org.tw nameserver = ns1.dreamhost.com
com.org.tw nameserver = ns2.dreamhost.com
ns3.dreamhost.com internet address = 66.33.216.216
ns1.dreamhost.com internet address = 66.33.206.206
ns2.dreamhost.com internet address = 208.96.10.221(這應該有問題吧?)
在網路上也找了,也更新MS08-037 安全修補程式。
也參考了其它更改regedit,等等設定。
可是還是沒有用。
有大大知道這部分怎麼處理嗎?15點送上!
謝謝各位
(第一次來這裡,有不懂的地方再請各位多多指教)
[img]http://sites.google.com/site/ferylee/Home/nslookup1.jpg?attredirects=0[/img]
於 2008-09-05 16:38:36 補充
不好意思,不知道怎麼把圖貼上來 = ="
http://sites.google.com/site/ferylee/Home/nslookup1.jpg
http://sites.google.com/site/ferylee/Home/nslookup2.jpg
http://sites.google.com/site/ferylee/Home/nslookup3.jpg
於 2008-09-05 16:41:43 補充
依照你現在敘述的情況,我有點懷疑的是,
你的DNS Server本身可以上網嗎???
這邊請你檢查該電腦網路卡的「TCP/IP設定」-->「進階」-->「DNS頁籤」,看看是否有加了附加尾碼的設定:
我這邊做了個小實驗,將我的電腦設定:
再照你的測試得到一樣的結果:
所以我想應該是這個問題吧
檢查看看不行再回應吧~
[-隱藏]
回應 :
fery123456 說:
謝謝你們的回覆,可是我看了都沒有設定org.tw耶。
像kaiin323大大的第一張圖,就是選第一個選項。
2008-09-05 16:17:11
fery123456 說:
另外,想問一下kaiin323大大:
我這一台dns,在ip設定裡,dns是設自己,沒錯吧?
我等等再把圖貼上來。
2008-09-05 16:20:05
kaiin323 說:
在DNS Server上,DNS的確是要設自己沒錯。
不過你現在的問題,應該不在DNS Server是誰上面
應該就像我說的,
這台電腦會自行加上尾碼org.tw,
(這點可由DNS設成了168.95.1.1還是一樣得知),
但引起原因還需再釐清
所以當你查nslookup tw.yahoo.com會自動變成tw.yahoo.com.org.tw
查com會自動變成com.org.tw
而加上點的話,引述鳥哥的解釋:
"這個點 (.) 很重要!因為他代表一個完整主機名稱 (FQDN) 而不是僅有 hostname 而已。"
http://linux.vbird.org/linux_server/0350dns.php
所以你查com.就不會加上尾碼而就是查詢com
這邊稍微解釋一下
「nslookup tw.yahoo.com
Server: dns.example.com
Address: 192.168.1.1
===>這裡代表目前DNS Server的設定
Name: com.org.tw
Address: 67.205.9.118
Aliases: tw.yahoo.com.org.tw
===>這裡代表要解析的網址,
因為tw非一個網域,再往上org.tw也非一個網域,故再往上一層com.org.tw
這表示*.com.org.tw這個網域的DNS Server是67.205.9.118
」
2008-09-06 00:05:40
fery123456 說:
謝謝大大的回覆:
可是我還有一個疑惑,
也就是,如果這樣的話,應該解析什麼樣的網址,應該都會加org.tw
可是在我的nslookup2的圖上,我有再測試解析www.google.com.tw
可是得到的卻是正確的ip,而沒有自動變成:www.google.com.tw.org.tw
所以,我也不知道要在那裡調整了= ="
大大所說的我都調整過了。
2008-09-06 14:09:50
回答:是否加入了org.tw的設定。
如果是,取消相關設定再試試看。
http://www.windowsnetworking.com/articles_tutorials/Installing_DNS_Windows_2003.html
參考資料:http://www.windowsnetworking.com/articles_tutorials/Installing_DNS_Windows_2003.html
[-隱藏]
回應 fishk:
DNS Server 本身的 DNS 設定應該是自己, 怎麼會指到168.95.1.1呢?
DNS Server 只要在 DNS 管理工具裡設定好 forwarder DNS 至 168.95.1.1 就行了!!
試試看是不是這個原因吧~
參考資料:me
[-隱藏]
回應 sailsolitary:
fery123456 說:
謝謝大大的用心
一開始dns設定是指自己,可是一直出不去。
所以我就測試指到168.95.1.1,可是還是出不去,
我就直接抓圖了= ="
所以不管我設自己或設hinet dns,都出不去。
我的forwarder dns也設hinet dns也是出不去。
奇怪的事,只要網址不是.com,也就是後面還有其它的字樣,如(.com.tw, .tv, .idv)
這些都正常,只有.com就會出不去。
我也看了是不是尾碼有加.org.tw,可是檢查了都沒有。
我第一個念頭就是dns cache pollution, 也清楚cache,更新windowsupdate,
還是不行。
其實一開始我這一台dns是windows2000,就有這樣的問題了。想說是不是win2000的dns漏動比較多,所以重灌一台win2003。換上去後是正常,隔天就出現一樣的問題了。
2008-09-06 14:15:20
sailsolitary 說:
看到最後, 又發現了一件事, 就是您有提到說, 重灌一台 Win2003後, 是正常的, 但過了一天後又出現問題。您要不要往中毒或是被惡意攻擊的方向去尋找問題呢?
必竟,正常的系統是可以使用的,代表設定沒有問題,但過一陣子後又出現問題,這點比較像是被惡意破壞或是中毒影響!!
2008-09-08 17:55:57
回答:
Domain Name: com.org.tw
Registrant:
Autumn and Ozzie
Jordan Perr nobody@nowhere.com
+1.8548874444
+1.8548874444
nobody@nowhere.com
San Francisco, CA
US
Administrative Contact:
Who Knows nobody@nowhere.com
+1.8884563245
Technical Contact:
Domain Registrar domainregistrar@register.com
+1.9027492701
+1.9027492701
Record expires on 2009-03-25 (YYYY-MM-DD)
Record created on 2008-03-25 (YYYY-MM-DD)
Domain servers in listed order:
ns3.dreamhost.com
ns1.dreamhost.com
ns2.dreamhost.com
Registrar: Register.com
很詭異,而且很懷疑他怎麼註冊的。
[-隱藏]
回應 fillano:
fery123456 說:
這也是我感到奇怪的部分。
在網路上也找了dreamhost這家公司的資料。
他是一家提供webhosting的美國公司,之前他們的dns就有一些問題了。
只是不知道是不是有處理好了。
我不知道你們之前是不是有遇過myfamily的dns cache pollution情況?
情況跟現在有點類似,只是myfamily是直接出現在dns root server記錄上。
以上若有大大知道怎麼處理,再提供一下處理方法。
我趴文趴到趴下去了 = ="
謝謝
2008-09-08 14:55:13
回答:請檢查一下你公司 Firewall 的 traffic log,
當這台Windows 2003 DNS Server 在做公司外部 Domain IP 解析時, 都會把指向遠端 Server Port 53 的 UDP 封包丟向哪裡.
[-隱藏]
回應 stoneck:
fery123456 說:
stoneck大大您好。
一、您的意思是看這台dns做公司外部domain ip是把udp53的封包都往那丟嗎?
一般是不是都往168.95.1.1 hinet dns丟嗎?
二、想了解一下,若一般正常來說的話,設定應該如何設?
只丟到168.95.1.1?不丟到其它ip嗎?
三、從traffic log來看,
這台dns出去的port都不一樣耶,也到一大堆不同的destination ip port 53。
而我們另一台dns出去的port都是1067port,也到了一大堆不同的destination ip pt 53
想問的是:正常的dns主機,出去只走一個port才正常嗎?
感謝大家的熱心回覆
2008-09-08 15:12:32
stoneck 說:
正常來說,
Local 端只要是 [主動] 去連結其他任意節點, 正常 Local 都是隨機選擇數字較大的任意 Port,例如 35000~ 65000 之間的Port,
而遠端伺服器因為需要等待別人的需求做回應, 就必須有大家都知道的固定 Port,
這樣提出需求的Client 才知道要向遠端的伺服器如何提出需求, 例如 HTTP 的 TCP 80 Port,SMTP 的 TCP 25 Port, POP3 的 TCP 110 Port, DNS 的 UDP 53 Port...... 等等.
如果說系統正常沒有受到惡意程式干擾的話, 那你這台Server 照理來說對 Hinet IP 168.95.1.1 這個端點,就只會有你Server [Local Port 任意] 而對應到 Hinet [Remote Port UDP 53] 的 Log 產生.
因為假定你設的forwarder DNS [只有] 168.95.1.1, 那正常應該你 Server 只會把指向遠端 UDP 53 的封包都 [只會] 丟向 Hinet DNS 168.95.1.1 , 因為重點是你的 Server 根本不認識其他的 DNS Server ,
除非你又附加設定了其他的 DNS IP.
要是 log 顯示連線到遠端 UDP 53 Port,有出現一堆亂七八糟的 IP ,
那就要查一下是否有惡意程式隱藏在系統干擾正常的 DNS 解析動做.
如果 log 中根本找不到連線至 Hinet 168.95.1.1 UDP 53 Port 的記錄,
那很明顯根本就是你設定不對或是已經被偷偷轉向.
尤其是你說 [其實一開始我這一台dns是windows2000,就有這樣的問題了。想說是不是win2000的dns漏動比較多,所以重灌一台win2003。換上去後是正常,隔天就出現一樣的問題了。] 這樣應該是大有問題
2008-09-09 09:40:18
fery123456 說:
to Stoneck大大,
我在我們防火牆看,是有看到一堆亂七八糟的ip耶,
可是我forwarder只設定hinet dns而已....。
偷偷轉向的問題,請問我可以從那一邊下手處理嗎?dns主機本身?還是有什麼方式可以處理?
感謝大大的回答,讓我有一點概念了。
2008-09-09 14:57:38
stoneck 說:
So Sorry, 如果是中了惡意程式, 那你只能找程式掃毒, 沒法救你.
因為狀況千奇百怪... 呵呵呵
但是如果我是你, 在這一切都不明的狀況下,
我會再一次嘗試重新安裝一套乾淨的 windows 2003 系統,然後最先
安裝好防毒程式, 以及裝一個可以用於 Server 2003 版,同時可以設定Port I/O
的Personal Firewall, 把 Personal Firewall 由內向外的 Traffic 完全開放,
但是, 由外向內的 Traffic 就僅僅開放接受 Port UDP 53 的連入.
最後才是設定 DNS 記錄與連上網路.
這樣,讓這台 server 變成完全單純的 DNS Server , 同時可以阻擋任何對這台新
Server 偷偷不明的遠端安裝與 Port Scan.
如果你的 DNS 設定技巧是完全正確的,
那我猜這台 DNS Server 應該可以撐很多天都是功能正常的吧. 不會只有一天
就掛了.
後續, 就是檢查在同一個網段中, 是哪個 Client 在散佈惡意程式了.
2008-09-09 17:28:45
是否為DHCP呢?
因為DHCP可以定義DNS的尾碼!!
如果您是DHCP給IP的,那DHCP SERVER是否為自架?
可以檢查這部份看看。
回應 :
請填寫您的回應,長度限為1,000個字,回應不計點數,也不限使用次數
-
‧
-
‧
-
‧
相關問答
- windows storage server 2003 R2如何做到遠端備援?
- 如何確定DNS SERVER沒問題?
- 請問買ms Server 2008授權但安裝Server 2003何法嗎?
- 如何用 Windows Live Mail 收 Exchange Server的郵件 ?
- 請問Exchange 2003的管理工具如何安裝在Windows Vista上?
- Windows Server 2008 伺服器核心 (Server Core) 基礎指令介紹
- Windows Server 2000 Printer Spooler 意外終止
- x64 系統要用什麼軟體備份? (Server 2003 x64, Vista x64, Server 2008)
- Mircosoft Windows VISTA.或Microsoft Windows services 2008.
- 線上 DNS 查詢工具 - AjaxDNS
- 一般來說哪些SERVER會規劃到DMZ裡面?DMZ又要怎麼使用?!
- x64 系統用什麼防毒軟體? (Server 2003 x64, Vista x64, Server 2008)
- 有人用過雷電Mail Server嗎?
- 想要從Windows遠端桌面連到Ubuntu上,辦得到嗎?
- 針對微軟終端機server
- 有人用過Office PerformancePoint Server 2007
- WPF(Windows Presentation Foundation)
- Windows當機時的藍畫面,錯誤碼對照表(3)
- 用Outlook Express收Exchange Server的郵件
- 在Windows裡擷取前一天日期的指令碼