iT邦幫忙

0

內部DNS 設定問題!

我想要再公司建立AD,基本上只是要給內部設定DNS,但是我不太會設定DNS,
我把公司目前的環境大概描述一下,
Windows 2003 Server上有兩張網卡,
A網卡:192.168.16.3/24
B網卡:192.168.16.80/24
我只是想把AD 建立起來,透過AD 來管理file Server的權限,
讓所有人連到A網卡共用file Server,
B網卡連上Internet!
這樣我的DNS 要怎麼設定才好呢!?
用戶端的DNS 要怎麼設定呢!? DNS 是不是全部都指向A網卡,
那如果用戶端要連Internet,DNS 要在加一筆ISP 的DNS嗎!?還是要怎麼設定呢!?
透過Windows 2003 有沒有辦法控管Client 端電腦部分能上internet 部分不行!?
是不是一定要建立Proxy Server 呀!?

2 個回答

10
cafebug
iT邦高手 2 級 ‧ 2009-10-28 00:23:36
最佳解答

我看了一下你的架構, 發覺有下列問題:

  1. AD上有網卡直接接上Internet, 這樣對於安全性不好, 建議不要這麼做
  2. 你需要的應該是一台簡單的NAT主機, 如果非用Windows不可, 請至少準備兩張網卡,一張為內部IP區段, 另一張可能是設定固定外部IP或是PPPoE, 此Windows上要裝Routing and Remote Access, 來設定routing 跟 NAT功能, 重點就是NAT主機上越簡單越好, 才不會有資安的問題, RRAS還可以提供簡單的TCP/IP firewall控管, 就可以達到你控制員工上網的功能.
  3. AD主機跟內部DNS server放在同一台,同時再加上內部DHCP server, 第一可以做內部帳號的權限管理, 第二作為內部pc的IP 發放, 第三可以作為內部pc的FQDN註冊
  4. DNS你只要把內部的domain架設起來, 然後啟用DNS query forwarding 到你ISP的DNS SERVER來解析外部的IP即可..

Windows 2003 DNS server設定: http://support.microsoft.com/kb/814591
Internal DNS server setup: http://www.simongibson.com/intranet/dns2003/

jason5241 iT邦新手 5 級 ‧ 2009-10-28 10:36:55 檢舉

感謝大大詳盡的回答,
我想再請問一下,如果A網卡設定內部IP ,B網卡設定外部IP,我的網路架構是不是需要調整呀?
現在是所有Client 端的IP Default Gateway 都丟到Router 192.168.16.1,
如果B網卡要直接設定外部IP,是不是要直接連結ISP提供的光纖出去呢!?
現在限制員工上網是透過Router 來做IP/Mac 綁定來做的,所以也沒有提供DHCP的服務,
IP是手動設定的,
我的AD 跟 DNS 已經架設起來了,但是在Client 端打網域名稱時,還是找不到我架設的網域,
我是哪裡需要注意並設定清楚呢!?
不過真的很感謝您的回答,我會在花點心思來研究一下...

1.若ad要透過b網卡直接上網,那就是要直接設isp所提供真實ip,但不建議
2.你client的dns有指定到ad的a網卡ip嗎?
3.client有加入domain嗎?

2
smalllun
iT邦研究生 5 級 ‧ 2009-10-28 13:37:39

建議把對外的網卡拿掉,看你的架構,不用重外對內。如果要用的話,用nat就可以了
不然,對外網卡是實體ip的話,有風險。

AD+DNS架好了!那就測試看看是否在client可以解析到dns
AD SERVER IP:假設為192.168.1.1 dns為:192.168.1.1

現在用戶端的tcp/IP那裡設定dns為192.168.1.1
利用ping AD的網域或dns的網域,看看是否有回應。
如果沒有回應,那就是架設有問題,看看是不是要砍掉重架設。

至於用戶端要對外解析的話,在dns server那裡,選內容。
有一個選項是轉寄站。在哪裡設定當你架設的dns無法解析用戶端的資料時,在轉出去更上一層的dns站解析,例如:168.95.1.1

透過Windows 2003 有沒有辦法控管Client 端電腦部分能上internet 部分不行!?
︿︿︿︿︿︿︿︿︿︿︿︿
這是可以的,利用ad的群組原則來控管。

以上有誤,請多多指教

我要發表回答

立即登入回答