iT邦幫忙

0

如何確定DNS SERVER沒問題?

dns
jease 2008-04-24 14:31:3445988 瀏覽

最近架了一台雷X Mail Server,把原本亞太線上託管的DNS拉回來自己架,
原本Mail Server無法收/發郵件的問題也解決了,目前Mail Server都很正常,
但是另一台Web Server反而變成反解有問題,輸入我們公司網址會找不到網頁,
但是輸入IP就OK,是因為反解的問題才會這樣的嗎?

要如何確定DNS有正常提供服務,正/反解OK,網頁、MAIL SERVER都可以RUN?
可否提供step by step步驟故障排除~~~

PS:這台DNS架在防火牆內,再用IP對映的方式,有人跟我說這樣會有問題,
建議我架在防火牆外,接到小烏龜上,但是~這樣有個問題!
我們是用賽門XX企業版的防毒軟體,這樣防毒SERVER可以控管到這一台DNS嗎?
防毒SERVER在區網內,DNS在區網外用實體IP

看更多先前的討論...收起先前的討論...
jease iT邦研究生 1 級 ‧ 2008-04-24 15:14:41 檢舉
顯示

Ping request could not find host www.XXX.COM.TW.
Please check the name and try again
misadm iT邦高手 10 級 ‧ 2008-04-24 17:21:58 檢舉
很明顯是你的 DNS 正向解析有問題,請先檢查你 DNS 的 A 紀錄是否設定正確。

還有,執行 ping 這個指令的電腦,它的 DNS 必須指向你的 DNS Server 的 IP。
jease iT邦研究生 1 級 ‧ 2008-04-24 21:06:29 檢舉
A記錄應該是正確的....

執行ping的電腦,網卡dns是指到168.95.1.1(中華電信),
照你的意思是指,內部區網的電腦,要將原本設到168.95.1.1,
改成內部的dns server ip,是這樣對嗎?

ps:改這個主要是要測試???
jease iT邦研究生 1 級 ‧ 2008-04-24 21:58:07 檢舉
to jasechu:

用ping IP的話,結果如下:
dns-->>Request times out
www-->>OK
MAil-->OK

PING 網址的話,結果如下:
ping www.XXX.COM.tw--->>找不到
ping XXX.COM.tw --->>找不到

用nslookup,結果如下:
nslookup www.XXX.com.tw(XXX.com.tw也一樣)
Server:dns.hinet.net
IP:168.95.1.1

Dns request timed out.
timeout was 2 seconds.
Dns request timed out.
timeout was 2 seconds.
*** Request to dns.hinet.net timed-out
misadm iT邦高手 10 級 ‧ 2008-04-25 06:58:49 檢舉
To Jease:

從你測試的結果看來:
你測試的電腦根本找不到 DNS 的 IP,因此,請先確定你有辦法 ping 到你指定的 DNS 再進行測試。

另外,再針對你的補充:
『dns很簡單就是內部使用,主要就是web、mail server可以正常run起來(應該不會有人會架給別人用吧...)』 ==> 如果你的 WEB、Mail 都沒有要對外,都是內部員工要使用,並沒有要讓其他人瀏覽網頁或 Mail Server 不需要處理外面寄到你公司的信件,那麼你的 DNS 就不需要給別人用!

反之,只要你的網站要給一般大眾瀏覽,有別人會寄 Mail 到你公司,你的 DNS 就必須要供他人查詢。

『原本我們已經有一個www.xxx.com.tw(web)的網域了,還要去註冊dns(mail).xxx.com.tw喔?!』 ==> 我不了解你的『註冊』是什麼意思!如果你是只要在 DNS Server 中指定 MX 或 A 記錄,這個動作我稱為『設定』。如果不是,你可能是指申請網域名稱(如http://www.twnic.net.tw/index4.php),若是如此,你不需要再去申請『(mail).xxx.com.tw』因為 www 或 mail 都只是 Host Name 是你自己定義的,不需要額外申請,而且你也只能申請到『xxx.com.tw』並無法申請『mail.xxx.com.tw』
misadm iT邦高手 10 級 ‧ 2008-04-25 07:34:40 檢舉
To Jease:

抱歉!我漏看一則,你在 2008-04-24 21:06:29 所發布的討論中提到,『為何要改指定 DNS 的 IP』:

因為你用來測試的電腦,它的 DNS 是指向 168.95.1.1 這並不是你公司的 DNS Server,但是你是要確定你公司的 DNS 有沒有問題,而不是 HiNet 的 DNS 有沒有問題。

換言之,你用來測試的電腦,DNS IP 如果沒有改成你公司的 DNS,那你在怎麼測也測不出來你公司的 DNS 到底有沒有正常。
john651216 iT邦研究生 1 級 ‧ 2008-04-25 09:30:57 檢舉
沒有錯 168.95.1.1是中華電信的server不是你的,你要確定正向DNS沒有問題,看起來你是正向有問題
jease iT邦研究生 1 級 ‧ 2008-04-25 14:27:07 檢舉
To misadm:

目前DNS無法正常RUN起來,前幾天用ping、nslookup還可以找到這台DNS,後來因為Mail正常、Web有問題,就改了一些DNS設定,反而現在變成2個都有問題,真是頭痛阿!


Web(公司網頁)--->>不限制誰可以瀏覽,提供內部、外部USER使用
Mail Server --->>需要處理外部寄到公司的信

『dns很簡單就是內部使用,主要就是web、mail server可以正常run起來(應該不會有人會架給別人用吧...)』
↑上面也是參考looney的第3點回答提出的疑問,
我原問題是:DNS要架在防火牆內,還是架在外面不經過防火牆。
他的回答是:看我DNS要做什麼服務?

會架DNS是提供外部USER可以瀏覽我們公司的網頁(Web),Mail是提供員工使用公司網域的E-mail信箱(不要用YAHOO...之類的),也需要接收客戶E-mail過來的信。

故綜合以上2點來看,DNS是要架在內部還是外部(防火牆)?有何優缺點?安全性問題如何顧慮到!


之所以會那樣問,是參考looney的第4點回答,所以提出的疑問,以下是他的回答~~~

4、WEBSERVER的問題:你有註冊好你WEBSERVER的網址嗎?? 你除了要註冊dns.xxx.com.tw、mail.xxx.com.tw之外還有註冊一個www.xxx.com.tw。先看一下你的註冊設定唄..

以他的意思好像是還要在另外註冊DNS(mail).XXX.COM.TW,這也把我搞混了,不是只要註冊一個網域就可以了嗎?(XXX.COM.TW)其他可以在DNS裡面做設定!
misadm iT邦高手 10 級 ‧ 2008-04-25 17:07:50 檢舉
To Jease:

就你所言,你的 DNS 要放在防火牆外面直接對外,這樣別人才有辦法查到你的 DNS。

但是這樣當然不安全,你的 DNS 一定會被攻擊。所以,比較建議你把 DNS 放在防火牆的 DMZ 區段。並且只允許 TCP & UDP 53 存取這台 DNS。

我看了一下你的補充資料,不是很懂,『這邊PO上DNS的設定資料』是指你在 Domain Name 註冊那邊所指定的 DNS 嗎?若是,Mail 及 Web 不需要指定。因為這個地方是在告訴大家:『管理 xxx.com.tw 這個網域的 DNS 叫做 dns1 在 60.xxx.xxx.1』因此,當有人查詢 xxx.com.tw 時,就會跑去問 60.xxx.xxx.1 這台 DNS。

而 Mail 及 Web 的 A 記錄,就設在你自己的 DNS Server 裡就可以了!
jease iT邦研究生 1 級 ‧ 2008-04-28 09:59:52 檢舉
To Misadm:

就你而言把DNS放在DMZ是比較安全的作法,那以一般公司行號來說也是這樣做的嗎?(抱歉~我先釐清一點疑問,DNS一定要在防火牆外,絕對不能經過防火牆,不然就會查詢不到,是這樣的嗎?用IP對映和開PORT、設定安全規則通行,這些方式也沒辦法讓外面的USER查詢到這台的DNS嗎!)這種方式幽缺點如何?

我在亞太線上(當初申請網域)那邊,把原本亞太DNS託管方式,改成自行架設DNS,並輸入以下資訊:
1.dns1.XXX.com.tw--->>>60.XXX.XXX.001
2.dns2.XXX.com.tw--->>>60.XXX.XXX.002
在『這邊PO上DNS的設定資料』部分,指的是內部架設的DNS SERVER設定資料,相關的資料應該都沒KEY錯,可能DNS SERVER這台無法RUN起來(我們是買雷X DNSD企業版〈軟體〉),所以造成DNS SERVER會查詢不到。
misadm iT邦高手 10 級 ‧ 2008-04-28 11:52:42 檢舉
● 把DNS放在DMZ是比較安全的作法,那以一般公司行號來說也是這樣做的嗎?
是,把 DNS 放在 DMZ 相較之下是比較安全的,至於一般公司是不是這樣做,我就不知道了!但是我認識的朋友都是這樣做的。

● DNS一定要在防火牆外,絕對不能經過防火牆
不是一定要在防火牆外!是你的 DNS 一定要讓外面的人可以查到,所以是可以經過防火牆的,只要哪把相對應的 port 打開 (TCP & UDP 53)

● 用IP對映和開PORT、設定安全規則通行,這些方式也沒辦法讓外面的USER查詢到這台的DNS嗎
可以。

● 這種方式幽缺點如何?
若放在內部,你一定要讓別人從外部直接連到 DNS,而在內網裡頭除了 DNS 之外,一定有其他重要的 Server 以及廣大的使用者。一旦你的 DNS 備駭客或病毒入侵,要展轉攻擊你內網其他的伺服器或使用者是相當容易的。

若放在 DMZ,在 DMZ 的 DNS 不代表直接對外,同樣還是在防火牆內。只不過我們在設計網路時,會規畫一個區域,而這個區域裡的電腦是可以被攻陷的或者是不含機密性資料的電腦,而這個區域我們就稱為 DMZ。並不是放在 DMZ 裡的電腦就不會被入侵,應該是說在 DMZ 的電腦是『即使被入侵也無所謂』。

● 可能DNS SERVER這台無法RUN起來(我們是買雷X DNSD企業版〈軟體〉),所以造成DNS SERVER會查詢不到
我沒用過『雷X 的DNS』因此沒辦法跟你討論設定方式,但是還是強烈建議你先依照我原先的回答逐步測試,但在測試之前,請務必確認,拿來測試的電腦,其 DNS 一定要指到你自己的 DNS,千萬不可以指到 Hinet。
jease iT邦研究生 1 級 ‧ 2008-04-28 16:53:34 檢舉
在這裡還是要感謝其他大大提供的方法,很有參考價值!感恩啦~^^
davistai iT邦大師 1 級 ‧ 2008-04-29 17:50:41 檢舉
這題問得不錯,回答得也好^^
huichung iT邦新手 2 級 ‧ 2008-04-30 13:03:34 檢舉
感謝大家提供寶貴意見
john651216 iT邦研究生 1 級 ‧ 2008-04-30 17:13:59 檢舉
謝謝大家的資訊
cooch iT邦研究生 3 級 ‧ 2009-11-27 14:18:51 檢舉
提供另一個免費的 DNS 檢測網址,
http://www.intodns.com

在我完成外部 DNS 的架設後,
我通常都會用它來做檢測我架設的 DNS 是否OK !
56
misadm
iT邦高手 10 級 ‧ 2008-04-24 17:16:22
最佳解答
  1. 輸入 IP 可以看到網頁,輸入網址則不行,這跟反解析沒關係,通常是 DNS 無法解晰才造成此現象。
  2. 要確定 DNS 是否正常運作,就要使用 nslookup,方式如下:
    001 server 192.168.1.1 (輸入你公司給人查詢的 DNS IP)
    002 set type=any (等號前後沒有空白)
    003 mydomain.com.tw (輸入你自己的 Domain)

如果你有看到『primary name server = ...』以及一堆數字,就代表你的 DNS 正常運作。
如果有看到『... MX preference = 10, mail exchanger = ...』則代表你的 MX 記錄設定正常。
如果有看到『xxx.mydomain.com.tw internet address = xx.xx.xx.xx』則代表你的 A 記錄設定正常。

  1. 正解是否正常,只要在 DOS 下輸入『ping (你 Web Server 網址)』若有回應,則正解正常。
  2. 反解是否正常,只要在 DOS 下輸入『ping -a (你 WEB Server 的 IP)』若有回應城『網址名稱』,則反解正常。
  3. Mail Server 的測試,你可利用 Yahoo 或 PC-Home 或 GMail 來做寄信測試,一定要透過 Web 的方式去測。
  4. 『這台DNS架在防火牆內,再用IP對映的方式,有人跟我說這樣會有問題...』不會有問題,只要你 DNS 的區段設定正確,沒有出現內網的 IP 一樣可以正常運作,只是這樣的架構很容易被入侵。
  5. 『我們是用賽門XX企業版的防毒軟體,這樣防毒SERVER可以控管到這一台DNS嗎?
    』當然無法控管,建議你直接安裝 SAVCE 不要接受父系伺服器控管,讓 DNS 獨立運作即可。
36
john651216
iT邦研究生 1 級 ‧ 2008-04-24 15:04:48

你可以先PING看看這個網址通不通

47
alexa
iT邦新手 4 級 ‧ 2008-04-24 15:12:15

建議你用
http://www.squish.net/dnscheck/
這個網站來check dns是否正常工作
左邊輸入網址
右邊 Choose 的地方選 ANY

稍待片刻會有完整的 dns check 紀錄
可以檢查設定是否正確

28
不明

ping 看看,再用nslookup 來查

38
魯大
iT邦高手 1 級 ‧ 2008-04-24 16:48:29

1、正解:只要你們有申請網址,並註冊設定正確,正解一定可以。

2、反解:這個功能請跟你的isp業者申請,他們有提供此項服務,也只有他們能幫你。

3、dns服務:你把dns架在防火牆內部(也就是LAN裡),那這個dns是用在服務公司內部的,若是你把它架在防火牆的前面,那就是服務外部的。(先考慮好,你的dns是要做什麼服務)

4、WEBSERVER的問題:你有註冊好你WEBSERVER的網址嗎?? 你除了要註冊dns.xxx.com.tw、mail.xxx.com.tw之外還有註冊一個www.xxx.com.tw。先看一下你的註冊設定唄..

40
richardhsieh
iT邦研究生 4 級 ‧ 2008-04-24 16:50:31

http://www.dnstuff.com
可以Check DNS SERVER是不是有Error 或是設定有問題

36
liao1029
iT邦新手 3 級 ‧ 2008-04-24 18:24:24

http://member.dnsstuff.com/pages/dnsreport.php

我都是用這網站測試~~
然後再來找問題

28
laacura
iT邦研究生 1 級 ‧ 2008-04-25 00:37:27

Try this one:

http://www.dnscolos.com/free-dns-report.html

You will get the error if your setting is wrong.....

26
cutters
iT邦新手 4 級 ‧ 2008-04-25 09:22:00

你的映對是nat嗎??
dns所對外的有tcp/53,另外也有udp/53。
反解的話,giga的固定ip用戶可以去網站上作反解的設定,其他的isp還未聽過。

我要發表回答

立即登入回答