iT邦幫忙

0

DC網域與網站網域衝突導致DNS無法解析?

不好意思又來問問題了,
上次是確認新舊AD/DC間的衝突問題,
這次是新DC的DNS可以正常連線,但是無法連線相同網域的網站。

舊AD的網域:olddc.com,掌管AD/DNS/DHCP
網段:192.168.0.X

A網站網址:a.newdc.com
A網站public IP:168.168.168.1
A網站內網虛擬IP:192.168.0.31
A網站伺服器有加入網域:a.olddc.com

B網站網址:b.newdc.com
B網站public IP:168.168.168.2
B網站內網虛擬IP:192.168.0.32
B網站伺服器沒有加入網域

C網站網址:c.newdc.com
C網站public IP:169.168.169.1
C網站不在內部,無內部IP,非olddc.com網域或無網域

A、B和C網站網址皆為外部DNS代管(網域經銷商的DNS代管功能)
public IP轉內部IP是由硬體防火牆負責處理
硬體防火牆設定 public IP -> 內網虛擬IP

上頭想要將AD的網域變更為newdc.com
所以架了一個newdc.com的AD網域伺服器預計取代olddc.com,一樣掌管AD/DNS/DHCP
網段一樣是:192.168.0.X

原先是新DC的DNS無法解析舊DC上的A網站,後來發現未加入舊DC的B網站和在外頭的C網站也無法讀取,
tracert的回報皆為無法解析目標系統名稱,
所以我個人判斷是網域上的衝突,因為換使用舊DC的DNS是正常解析的。
網站網域和新AD網域皆為newdc.com導致解析上的失敗?

我在newdc的DNS上設定外部DNS轉寄解析也無法成功解析A和B網站
(設了google和hinet的各2組DNS)

在測試用的client端網路設定外加一個外部DNS就可以解析出A、B和C網站
(new_DNS內部IP / 8.8.8.8)

在不更動newdc.com的內部DC網域名稱下在DNS伺服器有什麼設定可以解決呢?
還是只能由每台client端都設定另一組外部DNS(如google DNS)來解決?

回復msnman:
網域提供商的DNS代管服務是指將網址綁在public IP,
a.newdc.com -> 168.168.168.1

然後在公司硬體防火牆設168.168.168.1 指向192.168.0.31

純使用新DC的DNS測試如下(防火牆內)
a.newdc.com -> 無法顯示此網頁
168.168.168.1 -> 成功顯示
192.168.0.31 -> 成功顯示

防火牆外無法使用新DC的DNS,故沒測
外部client可以透過a.newdc.com進入,不然我會接到一堆電話XD

msnman iT邦研究生 1 級 ‧ 2017-08-21 14:08:49 檢舉
看不懂外部IP是指什麼,是真實IP還是經過防火牆再snat成虛擬IP。
代理DNS是指向AD,還是指向網站外部IP。
或是防火牆有多張網卡外部網站IP做snat到內部網站IP。
在防火牆內打IP可以連上網站嗎?
在防火牆外打IP或網址可連上網站嗎?
mathewkl iT邦高手 1 級 ‧ 2017-08-21 14:50:24 檢舉
msnman您好,我將測試結果放在問題最下方。
1. 內部的 DNS 裡面 PUBLIC IP 跟 私人 IP 紀錄並列,建議一律使用 私人 IP
2. 外部的DNS 代管要有所有網站的 A 紀錄
3. 要確認在防火牆外,網站的 外部 IP 能夠連接到網站 ( 網站先開啟 IP 通道測試 )
大概就這樣,很多資訊樓主沒有提供,個人只能按照經驗回應
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
zero
iT邦好手 1 級 ‧ 2017-08-21 15:15:15
最佳解答

A網站網址:a.newdc.com
A網站public IP:168.168.168.1
A網站內網虛擬IP:192.168.0.31
A網站伺服器有加入網域:a.olddc.com

網站網域和新AD網域皆為newdc.com


你自己不是已經抓到答案了嗎?

AD自己的網域名稱,預設他的DNS解析本來就不會往外部查詢的,

對新AD而言,newdc.com就是我家,我還有自己的DNS提供查詢,

我為何要跑去外面問別人我家的地址多少?


純使用新DC的DNS測試如下(防火牆內)
a.newdc.com -> 無法顯示此網頁
168.168.168.1 -> 成功顯示
192.168.0.31 -> 成功顯示


你應該自己在新的DNS上,新增那台A網站的A記錄才對。

mathewkl iT邦高手 1 級 ‧ 2017-08-21 15:21:48 檢舉

對,我剛剛發現要自己新增,正在手動新增作業中,有新增一個做測試是成功的
想說稍後補在發問尾端(手動作業完+測試完後)

我要發表回答

立即登入回答