如何確定DNS SERVER沒問題?

dns

jease 2008-04-24 14:31:34 ‧ 56600 瀏覽

最近架了一台雷X Mail Server，把原本亞太線上託管的DNS拉回來自己架，
原本Mail Server無法收/發郵件的問題也解決了，目前Mail Server都很正常，
但是另一台Web Server反而變成反解有問題，輸入我們公司網址會找不到網頁，
但是輸入IP就OK，是因為反解的問題才會這樣的嗎？

要如何確定DNS有正常提供服務，正/反解OK，網頁、MAIL SERVER都可以RUN？
可否提供step by step步驟故障排除～～～

PS：這台DNS架在防火牆內，再用IP對映的方式，有人跟我說這樣會有問題，
建議我架在防火牆外，接到小烏龜上，但是～這樣有個問題！
我們是用賽門XX企業版的防毒軟體，這樣防毒SERVER可以控管到這一台DNS嗎？
防毒SERVER在區網內，DNS在區網外用實體IP

看更多先前的討論...收起先前的討論...

jease iT邦研究生 1 級 ‧ 2008-04-24 15:14:41 檢舉

顯示

Ping request could not find host www.XXX.COM.TW.
Please check the name and try again

misadm iT邦高手 10 級 ‧ 2008-04-24 17:21:58 檢舉

很明顯是你的 DNS 正向解析有問題，請先檢查你 DNS 的 A 紀錄是否設定正確。

還有，執行 ping 這個指令的電腦，它的 DNS 必須指向你的 DNS Server 的 IP。

jease iT邦研究生 1 級 ‧ 2008-04-24 21:06:29 檢舉

A記錄應該是正確的....

執行ping的電腦，網卡dns是指到168.95.1.1(中華電信)，
照你的意思是指，內部區網的電腦，要將原本設到168.95.1.1，
改成內部的dns server ip，是這樣對嗎?

ps:改這個主要是要測試???

jease iT邦研究生 1 級 ‧ 2008-04-24 21:58:07 檢舉

to jasechu：

用ping IP的話，結果如下：
dns-->>Request times out
www-->>OK
MAil-->OK

PING 網址的話，結果如下：
ping www.XXX.COM.tw--->>找不到
ping XXX.COM.tw --->>找不到

用nslookup，結果如下：
nslookup www.XXX.com.tw(XXX.com.tw也一樣)
Server：dns.hinet.net
IP：168.95.1.1

Dns request timed out.
timeout was 2 seconds.
Dns request timed out.
timeout was 2 seconds.
*** Request to dns.hinet.net timed-out

misadm iT邦高手 10 級 ‧ 2008-04-25 06:58:49 檢舉

To Jease:

從你測試的結果看來：
你測試的電腦根本找不到 DNS 的 IP，因此，請先確定你有辦法 ping 到你指定的 DNS 再進行測試。

另外，再針對你的補充：
『dns很簡單就是內部使用，主要就是web、mail server可以正常run起來(應該不會有人會架給別人用吧...)』 ==> 如果你的 WEB、Mail 都沒有要對外，都是內部員工要使用，並沒有要讓其他人瀏覽網頁或 Mail Server 不需要處理外面寄到你公司的信件，那麼你的 DNS 就不需要給別人用！

反之，只要你的網站要給一般大眾瀏覽，有別人會寄 Mail 到你公司，你的 DNS 就必須要供他人查詢。

『原本我們已經有一個www.xxx.com.tw(web)的網域了，還要去註冊dns(mail).xxx.com.tw喔?!』 ==> 我不了解你的『註冊』是什麼意思！如果你是只要在 DNS Server 中指定 MX 或 A 記錄，這個動作我稱為『設定』。如果不是，你可能是指申請網域名稱（如http://www.twnic.net.tw/index4.php），若是如此，你不需要再去申請『(mail).xxx.com.tw』因為 www 或 mail 都只是 Host Name 是你自己定義的，不需要額外申請，而且你也只能申請到『xxx.com.tw』並無法申請『mail.xxx.com.tw』

misadm iT邦高手 10 級 ‧ 2008-04-25 07:34:40 檢舉

To Jease:

抱歉！我漏看一則，你在 2008-04-24 21:06:29 所發布的討論中提到，『為何要改指定 DNS 的 IP』：

因為你用來測試的電腦，它的 DNS 是指向 168.95.1.1 這並不是你公司的 DNS Server，但是你是要確定你公司的 DNS 有沒有問題，而不是 HiNet 的 DNS 有沒有問題。

換言之，你用來測試的電腦，DNS IP 如果沒有改成你公司的 DNS，那你在怎麼測也測不出來你公司的 DNS 到底有沒有正常。

john651216 iT邦研究生 1 級 ‧ 2008-04-25 09:30:57 檢舉

沒有錯 168.95.1.1是中華電信的server不是你的,你要確定正向DNS沒有問題,看起來你是正向有問題

jease iT邦研究生 1 級 ‧ 2008-04-25 14:27:07 檢舉

To misadm：

目前DNS無法正常RUN起來，前幾天用ping、nslookup還可以找到這台DNS，後來因為Mail正常、Web有問題，就改了一些DNS設定，反而現在變成2個都有問題，真是頭痛阿！

Web（公司網頁）--->>不限制誰可以瀏覽，提供內部、外部USER使用
Mail Server --->>需要處理外部寄到公司的信

『dns很簡單就是內部使用，主要就是web、mail server可以正常run起來(應該不會有人會架給別人用吧...)』
↑上面也是參考looney的第3點回答提出的疑問，
我原問題是：DNS要架在防火牆內，還是架在外面不經過防火牆。
他的回答是：看我DNS要做什麼服務？

會架DNS是提供外部USER可以瀏覽我們公司的網頁（Web），Mail是提供員工使用公司網域的E-mail信箱（不要用YAHOO...之類的），也需要接收客戶E-mail過來的信。

故綜合以上2點來看，DNS是要架在內部還是外部（防火牆）？有何優缺點？安全性問題如何顧慮到！

之所以會那樣問，是參考looney的第4點回答，所以提出的疑問，以下是他的回答~~~

4、WEBSERVER的問題：你有註冊好你WEBSERVER的網址嗎?? 你除了要註冊dns.xxx.com.tw、mail.xxx.com.tw之外還有註冊一個www.xxx.com.tw。先看一下你的註冊設定唄..

以他的意思好像是還要在另外註冊DNS(mail).XXX.COM.TW，這也把我搞混了，不是只要註冊一個網域就可以了嗎？（XXX.COM.TW）其他可以在DNS裡面做設定！

misadm iT邦高手 10 級 ‧ 2008-04-25 17:07:50 檢舉

To Jease:

就你所言，你的 DNS 要放在防火牆外面直接對外，這樣別人才有辦法查到你的 DNS。

但是這樣當然不安全，你的 DNS 一定會被攻擊。所以，比較建議你把 DNS 放在防火牆的 DMZ 區段。並且只允許 TCP & UDP 53 存取這台 DNS。

我看了一下你的補充資料，不是很懂，『這邊PO上DNS的設定資料』是指你在 Domain Name 註冊那邊所指定的 DNS 嗎？若是，Mail 及 Web 不需要指定。因為這個地方是在告訴大家：『管理 xxx.com.tw 這個網域的 DNS 叫做 dns1 在 60.xxx.xxx.1』因此，當有人查詢 xxx.com.tw 時，就會跑去問 60.xxx.xxx.1 這台 DNS。

而 Mail 及 Web 的 A 記錄，就設在你自己的 DNS Server 裡就可以了！

jease iT邦研究生 1 級 ‧ 2008-04-28 09:59:52 檢舉

To Misadm：

就你而言把DNS放在DMZ是比較安全的作法，那以一般公司行號來說也是這樣做的嗎？（抱歉～我先釐清一點疑問，DNS一定要在防火牆外，絕對不能經過防火牆，不然就會查詢不到，是這樣的嗎？用IP對映和開PORT、設定安全規則通行，這些方式也沒辦法讓外面的USER查詢到這台的DNS嗎！）這種方式幽缺點如何？

我在亞太線上（當初申請網域）那邊，把原本亞太DNS託管方式，改成自行架設DNS，並輸入以下資訊：
1.dns1.XXX.com.tw--->>>60.XXX.XXX.001
2.dns2.XXX.com.tw--->>>60.XXX.XXX.002
在『這邊PO上DNS的設定資料』部分，指的是內部架設的DNS SERVER設定資料，相關的資料應該都沒KEY錯，可能DNS SERVER這台無法RUN起來（我們是買雷X DNSD企業版〈軟體〉），所以造成DNS SERVER會查詢不到。

misadm iT邦高手 10 級 ‧ 2008-04-28 11:52:42 檢舉

● 把DNS放在DMZ是比較安全的作法，那以一般公司行號來說也是這樣做的嗎？
是，把 DNS 放在 DMZ 相較之下是比較安全的，至於一般公司是不是這樣做，我就不知道了！但是我認識的朋友都是這樣做的。

● DNS一定要在防火牆外，絕對不能經過防火牆
不是一定要在防火牆外！是你的 DNS 一定要讓外面的人可以查到，所以是可以經過防火牆的，只要哪把相對應的 port 打開 (TCP & UDP 53)

● 用IP對映和開PORT、設定安全規則通行，這些方式也沒辦法讓外面的USER查詢到這台的DNS嗎
可以。

● 這種方式幽缺點如何？
若放在內部，你一定要讓別人從外部直接連到 DNS，而在內網裡頭除了 DNS 之外，一定有其他重要的 Server 以及廣大的使用者。一旦你的 DNS 備駭客或病毒入侵，要展轉攻擊你內網其他的伺服器或使用者是相當容易的。

若放在 DMZ，在 DMZ 的 DNS 不代表直接對外，同樣還是在防火牆內。只不過我們在設計網路時，會規畫一個區域，而這個區域裡的電腦是可以被攻陷的或者是不含機密性資料的電腦，而這個區域我們就稱為 DMZ。並不是放在 DMZ 裡的電腦就不會被入侵，應該是說在 DMZ 的電腦是『即使被入侵也無所謂』。

● 可能DNS SERVER這台無法RUN起來（我們是買雷X DNSD企業版〈軟體〉），所以造成DNS SERVER會查詢不到
我沒用過『雷X 的DNS』因此沒辦法跟你討論設定方式，但是還是強烈建議你先依照我原先的回答逐步測試，但在測試之前，請務必確認，拿來測試的電腦，其 DNS 一定要指到你自己的 DNS，千萬不可以指到 Hinet。

jease iT邦研究生 1 級 ‧ 2008-04-28 16:53:34 檢舉

在這裡還是要感謝其他大大提供的方法，很有參考價值！感恩啦～^^

davistai iT邦大師 1 級 ‧ 2008-04-29 17:50:41 檢舉

這題問得不錯,回答得也好^^

huichung iT邦新手 2 級 ‧ 2008-04-30 13:03:34 檢舉

感謝大家提供寶貴意見

john651216 iT邦研究生 1 級 ‧ 2008-04-30 17:13:59 檢舉

謝謝大家的資訊

cooch iT邦研究生 3 級 ‧ 2009-11-27 14:18:51 檢舉

提供另一個免費的 DNS 檢測網址,
http://www.intodns.com

在我完成外部 DNS 的架設後,
我通常都會用它來做檢測我架設的 DNS 是否OK !

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

9 個回答

misadm

iT邦高手 10 級 ‧ 2008-04-24 17:16:22

最佳解答

輸入 IP 可以看到網頁，輸入網址則不行，這跟反解析沒關係，通常是 DNS 無法解晰才造成此現象。
要確定 DNS 是否正常運作，就要使用 nslookup，方式如下：
001 server 192.168.1.1 (輸入你公司給人查詢的 DNS IP)
002 set type=any (等號前後沒有空白)
003 mydomain.com.tw (輸入你自己的 Domain)

如果你有看到『primary name server = ...』以及一堆數字，就代表你的 DNS 正常運作。
如果有看到『... MX preference = 10, mail exchanger = ...』則代表你的 MX 記錄設定正常。
如果有看到『xxx.mydomain.com.tw internet address = xx.xx.xx.xx』則代表你的 A 記錄設定正常。

正解是否正常，只要在 DOS 下輸入『ping (你 Web Server 網址)』若有回應，則正解正常。
反解是否正常，只要在 DOS 下輸入『ping -a (你 WEB Server 的 IP)』若有回應城『網址名稱』，則反解正常。
Mail Server 的測試，你可利用 Yahoo 或 PC-Home 或 GMail 來做寄信測試，一定要透過 Web 的方式去測。
『這台DNS架在防火牆內，再用IP對映的方式，有人跟我說這樣會有問題...』不會有問題，只要你 DNS 的區段設定正確，沒有出現內網的 IP 一樣可以正常運作，只是這樣的架構很容易被入侵。
『我們是用賽門XX企業版的防毒軟體，這樣防毒SERVER可以控管到這一台DNS嗎？
』當然無法控管，建議你直接安裝 SAVCE 不要接受父系伺服器控管，讓 DNS 獨立運作即可。