Mail、AD與DNS疑問

dns

Anson 2010-03-11 09:35:27 ‧ 12073 瀏覽

各位好
我們家的架構是
Mail server * 1（無DC）
DC * 2
我們家的網域假設是abc.com.tw，且DNS沒分內外

現在DNS裡，abc.com.tw會有四組IP
其中三組為上述三台Server的內部IP
第四組為外部IP，由防火牆依服務不同指向AD或mail的內部IP
User端的DNS是指向Hinet DNS，等於繞出去再回來查

一直以來User的outlook設smtp/pop3為abc.com.tw會查到唯一的那組外部IP
但前一陣子不知為何，偶會有User查到的是DC2的內部IP，而導致收發郵件失敗
目前想到的方式是把smtp/pop3設為mailserver.abc.com.tw來解決
若是移除DNS上的DC2紀錄，隔一段時間還是會自動產生

想請問為什麼DNS會突然讓使用者查到內部的IP？
DNS的查詢機制對內外部IP有什麼優先順序嗎？抑或可否設定？
有辦法讓User查abc.com.tw就只會查到外部IP或mail server那台嗎？

謝謝！

ayu iT邦好手 2 級 ‧ 2010-03-12 03:57:28 檢舉

> User端的DNS是指向Hinet DNS，等於繞出去再回來查
我想這意味著, 即使是內部user, 由於resolver已指定到HINET DNS,
當他們query公司的domain name時, 等於以HINET DNS的身份來查詢,
若如此, 即使公司的DNS對查詢來源設有不同的view, 也不會發生預期效果.

> 為什麼DNS會突然讓使用者查到內部的IP？
答案應該在你們的 zone file 裡吧.

Anson iT邦新手 2 級 ‧ 2010-03-12 13:46:32 檢舉

請問~我是用windows的DNS，您指的看zone file，是不是就是指看DNS的設定
目前我們abc.com.tw是有4個IP對應，分別是一個外部IP、兩台DC及一台mail
我試過刪掉DC2那筆，但總會重新產生，不知該如何處理
謝謝您的回應

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

林門神JanusLin

iT邦超人 1 級 ‧ 2010-03-11 20:47:15

最佳解答

因為你的DNS Server是AD型態

而DC又是兩片網卡 , 一片對內一片對外

改為分開的內外DNS就好了

回應 1
分享
檢舉

Anson iT邦新手 2 級 ‧ 2010-03-12 13:19:57 檢舉

其實我們外部IP是設在firewall，透過NAT轉進來
所以每台Server都是設內部IP而已
謝謝你的建議

登入發表回應

tombo

iT邦高手 1 級 ‧ 2010-03-11 12:25:32

您的說明很奇怪， Mail 後面沒說有 DC，下面有說有 DC...

DNS 的查詢是隨機的，你沒辦法定先後，
如果你是用 BIND DNS，可以設定 View，讓 DNS 見人說人話，見鬼說鬼話(依 Request Source IP 來決定回復內容)

不過你應該是用 Windos DNS，還是乖乖的改用戶端的 POP3 & SMTP設定，順便改善 DNS 架構，把內外區分出來吧

回應 1
分享
檢舉

Anson iT邦新手 2 級 ‧ 2010-03-12 13:14:08 檢舉

抱歉，沒說清楚
是Mail那台沒升成AD，然後另外有兩台DC

原來Bind有此功能，我們是用Windows的沒錯
謝謝你的建議

登入發表回應

Ray

iT邦大神 1 級 ‧ 2010-03-11 15:28:10

這樣改看看:

設定 mail.abc.com.tw 給 Server 的外部 IP
MX 紀錄指向 mail.abc.com.tw

另外加設:
smtp.abc.com.tw
pop3.abc.com.tw
上面兩個都指向同一個 Server 的內部 IP
然後改 Client 端的 Outlook 設定:
寄信伺服器填入 smtp.abc.com.tw
收信伺服器填入 pop3.abc.com.tw

搞定收工....

回應 1
分享
檢舉

Anson iT邦新手 2 級 ‧ 2010-03-12 13:17:52 檢舉

嗯嗯~其實如果要改client設定
我想我可以直接設成mailserver.abc.com.tw即可
只是好奇怎麼突然發生上面的問題，原本都不會的

登入發表回應

cooch

iT邦研究生 3 級 ‧ 2010-03-12 10:00:45

1 先用 www.intodns.com 檢測一下您的DNS,
可以完整列出 DNS 的問題!

2 內外 DNS 混在同一部主機就是會有問題,
不管怎麼做都一樣,
根本解決之道還是要內外用 DNS 分開,

3 外用 DNS 不一定要自己架設,
如果對外 DNS 查詢紀錄不多,
其實直接掛在網域註冊服務提供業者也可以!

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

Anson iT邦新手 2 級 ‧ 2010-03-12 13:27:14 檢舉

針對第三點我有想過
像我們家是註冊在TWNIC，他的代管設定有點簡陋，沒有特別指定mx的選項
網路上好像有人說，這樣mail恐怕偶會有問題
我測試過是可以收發信，但不知會不會像別人說得，偶而掉個信，那就麻煩了
請問真的會有這樣的問題嗎？
謝謝

cooch iT邦研究生 3 級 ‧ 2010-03-12 19:58:51 檢舉

沒有 MX 紀錄以郵件寄送的 DNS 查詢機制上是 OK 的!
( 先查 MX ,沒有 MX 則直接用 A 紀錄 !)

我無法確認的是,
沒有 MX 紀錄會不會影響市面 SPAM Filter 的判斷??
這應該是唯一的考量!

Anson iT邦新手 2 級 ‧ 2010-03-13 23:29:13 檢舉

嗯嗯~那時找到的資訊好像就是提到這部份
如果遇到比較嚴謹的SPAM，要寄給客戶的信一直被退，那就麻煩了
不然我也蠻想用代管的~傷腦筋

子公司的domain是hinet註冊的，我就已經丟出去給他管了

Anson iT邦新手 2 級 ‧ 2010-03-18 20:30:29 檢舉

尷尬~我選錯最佳解答了，本來要選這一篇的^^"

cooch iT邦研究生 3 級 ‧ 2010-03-18 21:35:43 檢舉

That's OK...

But 我的最佳解答採用率降到 50% 以下了...
有點難過..&^%$*&^$...

Anson iT邦新手 2 級 ‧ 2010-03-20 19:32:05 檢舉

呵呵~歹勢歹勢

登入發表回應

tsaiyunan

iT邦新手 4 級 ‧ 2010-03-12 10:58:51

AD的DNS基本上僅適合企業內部使用, 如果要拿來同時最為外部的DNS主機的話, 那簡直就是一種找死的行為, 沒必要研究的, 以我在資安領域十多年的經驗,我還沒看過可以存活的!!
一般而言,外部的DNS建議使用Linux系統的Bind DNS,這是目前普遍使用於外部的DNS系統!!

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

Anson iT邦新手 2 級 ‧ 2010-03-12 13:29:37 檢舉

目前看來大家都建議內外分開
我先前也有想過，也有跟主管提過，不過他不置可否
過陣子要換Mail系統時，一併處理內外DNS問題好了
感謝你的建議

cooch iT邦研究生 3 級 ‧ 2010-03-12 20:01:33 檢舉

&lt;pre class="c" name="code">
...
不過他不置可否
...

辛苦你了,
遇到這種xxxx主管!

Anson iT邦新手 2 級 ‧ 2010-03-13 23:29:57 檢舉

:'(

tombo iT邦高手 1 級 ‧ 2010-03-14 23:33:57 檢舉

如果你真的要用 Windows DNS 來建置，請記得該主機不要 Join AD，免得一台 Server 淪陷，整個 Domain 都淪陷。
還有，防火牆記得要開，除了 DNS Port ，其它都擋掉。
Security Update一定要每天更新。
防毒軟體一定要安裝，並且每天更新！

Anson iT邦新手 2 級 ‧ 2010-03-15 21:56:28 檢舉

嗯嗯~謝謝你的提醒

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙