小弟第一次架設Linux DNS Server目前已將DNS MASTER (上層)架起確定可正反解了,但小弟想要再架一台sub domain(下層) DNS 可是不知道要怎麼讓外部電腦找到這台sub domain,小弟已將上層 那個 zone file 內,增加指定 NS 並指向下層 DNS 的主機名稱與 IP (A紀錄) ,而 zone file 的序號已增加。
下層sub domain的zone file已設定好,可是外部卻找不到這台機器請問該怎麼解決。
例如:情境1:集團總部的domain為xyz.com.tw(DNS伺服器IP xxx.xxx.xxx.xxx)、子公司的domain為branch.xyz.com.tw(DNS伺服器IP yyy.yyy.yyy.yyy),集團與子公司完全獨立機房、獨立系統、獨立網路,僅domain名稱有繼承性。請問要怎麼讓子公司的DNS讓外部找的到他。
先測試
dig @xxx.xxx.xxx.xxx branch.xyz.com.tw any
dig @yyy.yyy.yyy.yyy branch.xyz.com.tw any
如果都符合預期, 那麼,
xyz.com.tw 確定有跟 com.tw 這層做好註冊嗎?
dig @8.8.8.8 xyz.com.tw any 有正常嗎?
都黏在一起了, 重發
dig @xxx.xxx.xxx.xxx branch.xyz.com.tw any
dig @yyy.yyy.yyy.yyy branch.xyz.com.tw any
如果都符合預期, 那麼,
xyz.com.tw 確定有跟 com.tw 這層做好註冊嗎?
dig @8.8.8.8 xyz.com.tw any 有正常嗎?
dig測試過正常,想請大大過目設定檔並指教
小弟架設兩台DNS,小弟網域實為v-shooting.com,有用nslookup測試可以從外部找到這台v-shooting.com。
第一台DNS(上層):小弟上層網域是v-shooting.com設定完並確定外不可以找到這台DNS,並且有指定NS及A紀錄到下層(subdomain)
test.v-shooting.com,可是外部找不到test.v-shooting.com。
懇請指教
$TTL 172800 (上層設定)
@ IN SOA v-shooting.com. g1833056.gmail.com. (
20160530 ; serial
172000 ; refresh
900 ; retry
3600000 ; expire
3600 ) ; minimum
@ IN NS v-shooting.com.
@ IN NS test.v-shooting.com.
v-shooting.com. IN A 61.221.66.85
test.v-shooting.com. IN A 61.216.148.142
$TTL 172800(下層subdomain設定檔)
@ IN SOA test.v-shooting.com. g1833056.gmail.com. (
20160530 ; serial
172000 ; refresh
900 ; retry
3600000 ; expire
3600 ) ; minimum
@ IN NS tset.v-shooting.com.
test.v-shooting.com. IN A 61.216.148.142
感謝提供資訊, 但我從 com 這層問 v-shooting.com ,
確定目前是使用萬網(hichina)的dns代管,
不是你架的 61.221.66.85 負責授權解析
dig @f.gtld-servers.net v-shooting.com ns
v-shooting.com. 172800 IN NS dns13.hichina.com.
v-shooting.com. 172800 IN NS dns14.hichina.com.
因此不管你在 61.221.66.85 做什麼設定都是無效的,
而且好在是無效的, 不然就要大亂了,
因為這樣還製造一個滿常見的錯誤--上下層定義不一致!
dig @dns13.hichina.com v-shooting.com ns
v-shooting.com. 86400 IN NS dns13.hichina.com.
v-shooting.com. 86400 IN NS dns14.hichina.com.
dig @61.221.66.85 v-shooting.com ns
v-shooting.com. 172800 IN NS slave.v-shooting.com.
v-shooting.com. 172800 IN NS v-shooting.com.
v-shooting.com. 172800 IN NS sontest.v-shooting.com.
如果是已經正式上線服務的網域,
建議維持使用萬網代管不要變動, 或新增授權subdomain的 glue record, 例如:
test.v-shooting.com. IN NS ns.test.v-shooting.com.
ns.test.v-shooting.com. IN A 61.216.148.142
若還未上線服務而是籌備(練功)中,
可以試著取消萬網的代管, 把授權解析改為你架設的dns server .
不過, 強烈建議你再研習DNS教學, 觀念上仍有些待釐清之處,
相關資安防禦也請一定要特別留意, 例如限制遞迴查詢(你現在是用預設的open recursive).
誠心感謝ayu大大指導,我知道問題出在哪裡了
謝謝您
真的感謝!!沒有您的指導或許我到現在也找不出問題所在!
不客氣! 能有幫助我也很高興的. 祝順利.
請問一下,貴司的DNS HOSTING 服務是內外分開的嗎
如果不是,很抱歉喔,做不到你要的
DNS HOSTING服務,上面的紀錄是要讓大家找的到的
例如上面的 A記錄在WAN 上面是不可能找到 LAN 的IP的
所以對外的DNS 服務,是不應該有 紀錄LAN IP 的對應
回到問題,假如對外的 上層 DNS 確認外面找的到,那關於下層 DNS 的紀錄都打上真實IP了
那WAN 怎麼會找不到下層DNS呢 ???
除非你下層 DNS 的IP 外面是找不到的,如果找不到,就要想辦法讓人找到
中間的紀錄,都要能核實的,給 WAN 查詢的紀錄不能有 LAN IP 的,否則只會產生錯誤
感謝指導,謝謝您讓我知道問題出在哪裡了!!