iT邦幫忙

0

dns設定概念請教

又來請教前輩們了....

學校原本dns是用fedora或centos現在想用win2008r2角色取代它,但不知道要加什麼紀錄?我沒甚麼概念
a紀錄,mx紀錄....我們應該不需要mx紀錄(mail server別的廠商負責)

想請問像學校單位163.19.x.x是否有一套設定方式呢?還是直接加a紀錄只到線網DNS(163.19.1.1)
真的沒有概念呢,上網爬文也不是很能解決,拜託前輩指點迷津一下吧,謝謝了!!

看更多先前的討論...收起先前的討論...
ayu iT邦好手 2 級 ‧ 2015-11-15 04:22:56 檢舉
> 我們應該不需要mx紀錄(mail server別的廠商負責)
> 直接加a紀錄只到線網DNS(163.19.1.1)

恕我直言, 您的基礎概念還很弱, 狀況還沒弄清楚貿然異動,
勢必導致日後不必要的困擾, 這也是公司/機關/學校網管常犯的錯.

建議您先維持現狀, 把現有網路架構認識清楚, 交接資料看熟看懂,
不清楚可請教主管, 如主管不熟再請教縣市教育網路中心,
是否有相關研習資料講義可參考, 若有研習活動請務必參加.
待概念清楚也熟悉運作與資安策略了, 再架站實測, 有相當把握才可做異動.

另外提醒, 永遠不要有資訊事務全權委外處理的想法!
行政責任終究在學校, 廠商不可能幫你背書.
還有, 每個地方的網路情況不同, 適用的架構策略也會不同,
廠商會以自己的成功經驗來複製套用, 卻未必適合你.
曾經就遇過一些學校, 包括擁有一個classB的知名大學,
全權委託廠商(某股票上市公司)去運作, 相關事務一問三不知;
該廠商則是直接套用其它客戶的成功經驗, 知其一卻不求甚解.

網路/DNS能通就好是台灣普通的通病,
卻不知它足以衍生非常多不必要困擾, 徒然浪費彼此時間,
更不必提資安事故如何防範/處理/補強, 都是事情發生再病急亂投醫.
學校都是亂搞比較多...無視資安...已經習以為常^^"
max iT邦新手 4 級 ‧ 2015-11-16 09:07:49 檢舉
省時間、省麻煩 委託代管就好,

如果真的要自架外部DNS也是建議使用BIND較好,

花點時間K一下鳥哥的教學,就很清楚了(只看前段DNS的說明也好,蠻容易理解的)
http://linux.vbird.org/linux_server/0350dns.php
基本上啦,MAIL 服務 可以用 GAPPS ,學校都可申請無限帳號免費使用的
很多的學校都已經申請了

DNS 要分 HOSTING & CLIENT 兩種
你們打算換 DNS HOSTING 的話,你可以先測錄目前的 DNS 記錄
要記住,內部與外部的記錄都要記錄,還有科系分辦的記錄也要記錄

你要有一張目前的網路架構圖表,這可以幫助你設定上釐清楚,你到底要什麼
一樓的答案,個人認為有點混淆,一個環境,DNS 的設定要分內外
不可能放在一起,你的網路架構一定有不能對外公開的主機,也有一定要對外公開的主機
因此,你的DNS 怎麼可以內外混淆在一起呢,這絕對是錯誤的

還有學校大多使用學術網路,但能分配到的IP數量畢竟是有限,不可能一間學校就拿到一個C
除非你學校的規模很大,才有可能申請的到,很多的學校大多只能申請到 16~32個IP
扣掉頭尾,等於只有 14~30 個可用IP而已,所以 DNS才會有內外之分
對外就是管理這14~30個可用IP,對內,是管理所有會連上網路的任何裝置從各種電器到主機到移動裝置等等,這些都是要靠內部的DNS作管理的,建議題主把觀念釐清楚,在下手
DNS的管理,服務可以委外,但是設定千萬要自己來比較好,服務委外,網路上有很多的 HOSTING服務
可以管理對外的 DNS HOSTING ,但是對內的就是只能自行架設而已,所以觀念上一定要搞清楚,你在設定什麼東西才行,不知道,先畫一張網路架構圖來規畫一下再動工會比較好
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
15
yesongow
iT邦大師 1 級 ‧ 2015-11-15 00:13:40
最佳解答

首先,你必須知道DNS管理是階層式架構

你的學校domain,應該有向上層DNS管理單位註冊
例如新竹縣教育局網路中心(hcc.edu.tw)
而新竹縣教育局的上層DNS管理單位則是edu.tw(教育部)

所以,你不用向教育部註冊Domain相關資料
只要接手時,了解當初的資訊組長是向新竹縣教育局註冊的Domain資料即可
例如貴校DNS主機的名稱及IP,例如163.19.xxx.1

而你架設的DNS主機(163.19.xxx.2)與教育局紀錄(163.19.xxx.1)不同時
則全世界的電腦欲查詢貴校domain及瀏覽貴校www網站,都會發生查不到你的DNS主機(163.19.xxx.2)設定資料,而讓你覺得DNS設定無效的錯覺!
這時候只要將你架設的DNS主機IP從163.19.xxx.2改為教育局指定的IP即可(如163.19.xxx.1)

例如上層教育局手中的資料,紀錄著貴校的內容如下

domain_xxx.hcc.edu.tw. NS freebsd.domain_xxx.hcc.edu.tw.
freebsd.domain_xxx.hcc.edu.tw. A 163.19.xxx.1
freebsd.domain_xxx.hcc.edu.tw. AAAA 2001:0288:44xx:0000:0000:0000:0000:0001
以上是domain_xxx的正解紀錄

xxx.19.163.in-addr.arpa. NS freebsd.domain_xxx.hcc.edu.tw.
以上是IPv4的反解紀錄

x.x.4.4.8.8.2.0.1.0.0.2.ip6.arpa. NS freebsd.domain_xxx.hcc.edu.tw.
以上是IPv6的反解紀錄

這時候你要做的事情
很簡單
在windows電腦,執行nslookup
應該會出現>
的符號
此時輸入以下指令
server dns.nc.hcc.edu.tw
或是
server 163.19.1.1
都可以
再來輸入
set type=ns
set norecurse
最後輸入貴校的domain.hcc.edu.tw
dns.hcc.edu.tw主機應該會顯示貴校的 NameServer是誰
如果回應結果是

domain_xxx.hcc.edu.tw
Server: [163.19.1.1]
Address: 163.19.1.1

domain_xxx.hcc.edu.tw nameserver = dns2.nc.hcc.edu.tw
domain_xxx.hcc.edu.tw nameserver = dns.nc.hcc.edu.tw

則顯示貴校是使用教育局的DNS集中代管系統喔!

除非顯示以下資料
domain_xxx.hcc.edu.tw nameserver = freebsd.domain_xxx.hcc.edu.tw
freebsd.domain_xxx.hcc.edu.tw internet address = 163.19.xx.1

這樣子,你的DNS主機就必須使用以上顯示的IP

在你的DNS主機設定檔
除了要有www主機的IPv4 (A record)資料
還有有NS及 DNS IP的資料喔!
記得tw後面要有小黑句點喔

看更多先前的回應...收起先前的回應...
panqing iT邦新手 4 級 ‧ 2015-11-15 06:51:54 檢舉

夭壽喔!您回答的真有夠詳細呢,太謝謝您了!!!!!!!

yesongow iT邦大師 1 級 ‧ 2015-11-15 08:14:54 檢舉
yesongow iT邦大師 1 級 ‧ 2015-11-15 08:32:57 檢舉

再說ㄧ次,你必須知道DNS管理是階層式架構

你的學校domain,應該有向上層DNS管理單位註冊
例如新竹縣教育局網路中心(hcc.edu.tw)
而新竹縣教育局的上層DNS管理單位則是edu.tw(教育部)

所以,貴校的DNS主機,只負責貴校的Domain正反解析資料存放
至於不是貴校Domain的資料,一般來說,是透過root-servers解析

除非特殊狀況及環境,才會針對校外的Domain增加設定forward解析
例如新北市的國中小學,會針對ntpc.gov.tw做forward解析指定到172.18.1.1主機

回過來再看看AYU大大吐槽的內容
他提到你寫的ㄧ句話-----我們應該不需要mx紀錄(mail server別的廠商負責)

嗯,mailserver是別的廠商負責!
你想挖洞給他跳嗎?
該Mail server的主機全名該不會是mail.hcc.edu.tw吧?
那你的domain_xxx.hcc.edu.tw.zone 確實不用填寫該主機的A record
但是,也許需要MX紀錄喔!
如果你想要別人寄信給你的email(mis@domain_xxx.hcc.edu.tw),而郵件是存在mail.hcc.edu.tw上
這樣子,就一定要有MX資料,例如下面設定,
domain_xxx.hcc.edu.tw. MX 10 mail.hcc.edu.tw.
記得,以上的mail.hcc.edu.tw.的A record應該存在hcc.edu.tw的主機設定
mail.hcc.edu.tw.的A record絕不應該出現在你的domain_xxx.hcc.edu.tw.zone設定檔中

我看過一些新接手的MIS將dns.hinet.net. A 168.95.1.1這樣的資料
存在該校的domain設定檔中,導致dns的error log ㄧ直哀哀叫
我就嘴巴安靜的閉上,手就主動刪除dns.hinet.net. A 168.95.1.1
並重新啟動dns服務!
千萬別將CNAME與其他Record重覆設定,這會導致DNS無法重新啟動
這樣子客戶call我處理,我就會開心的收錢了!

我就不舉例CNAME如何設定會造成DNS服務停止了!

yesongow iT邦大師 1 級 ‧ 2015-11-15 08:46:23 檢舉

回過來再看看AYU大大吐槽的內容
他提到你寫的ㄧ句話-----我們應該不需要mx紀錄(mail server別的廠商負責)

如果mail server的全名是mail.貴校domain.hcc.edu.tw
那一定要有該主機的相關設定
通常會有A及MX設定
mail.domain_xxx.hcc.edu.tw. A 163.19.xxx.253
domain_xxx.hcc.edu.tw. MX 5 mail.domain_xxx.hcc.edu.tw. <-這是正確的MX設定
domain_xxx.hcc.edu.tw. MX 5 163.19.xxx.253 <-這是錯誤的MX設定

如果你要做多台DNS,務必向上層註冊(新增DNS紀錄)
不然貴校253主機關了,245及2在hcc.edu.tw的眼中來說,是不存在的DNS,那就會全世界找不到你的www及mail囉!
雖然你在校內的253,245,2三台主機的設定中,都有設定NS record
但那只是自爽的而已!

yesongow iT邦大師 1 級 ‧ 2015-11-15 09:09:13 檢舉

貴校規模應該夠大,有在使用虛擬化環境吧?
是哪種平台呢?V牌?M牌?P牌?還是X牌呢?
如果沒有,可以找我買主機喔!
沒有IPMI功能的主機,賣你三萬九,含VMware ESXi 5.5系統建置
規格:水冷八核心4Ghz,RAM有32GB,4個Intel 1Gb網路孔,LSI 陣列卡,1TBx2顆,抽取盒x4個

有IPMI功能的主機,賣你四萬六,含VMware ESXi 5.5系統建置
規格:水冷四核八序3.2Ghz,RAM有32GB,2個1Gb網路孔,LSI 陣列卡,1TBx2顆,抽取盒x4個

如主機規格是雙路CPU及16槽的RAM,需另外計算及報價!

yesongow iT邦大師 1 級 ‧ 2015-11-15 09:11:30 檢舉

更正及補充
水冷四核八序3.4Ghz

以上兩款都是三年到府服務及保固
VMware建置時,會順便做教育訓練!光這點去比x匠的補習費就不知道省多少了!

ayu iT邦好手 2 級 ‧ 2015-11-15 17:28:08 檢舉

真的! 有高手直接實務帶著做, 會省掉非常非常多冤枉路!!
正確觀念的建立是很難用錢買的, 網路上多有似是而非的做法,
跟著走錯就很難矯正, 為何? 因為"網路能通就好"的遺毒,
讓很多網管不相信自己設定錯了.
像 DNS 亂設 forwarder 就很常見, 一些網站也是這樣教,
連某ISP都犯這種錯, 把服務自家客戶的cache-only DNS traffic往別家倒還認為合情合理.

panqing iT邦新手 4 級 ‧ 2015-11-17 08:16:26 檢舉

真的謝謝各位熱心回答,謝謝您們了

0
kyokyolin
iT邦新手 5 級 ‧ 2015-11-15 09:47:58

學校單位,上面的區、縣網中心不是都有代管服務??
為何學校要自行架呢??
而且原本用的bind不是很穩嗎??幹嘛轉2008??

看更多先前的回應...收起先前的回應...
ayu iT邦好手 2 級 ‧ 2015-11-15 16:53:08 檢舉

不一定如此, 各區域/各校的情況需求不同, 有的合併有的分裂,
通常有縣市網統一處理的, 情況會較好, 畢竟老師兼任網管很難有多餘時間精進;
但有些學校有自己的想法, 有的國立學校甚至不希望受縣市網管轄.

技術實務上, 電路/正解網域/反解網域, 技術權責單位也不盡相同, 很複雜的,
MOE/區網/縣市網有時是代理的角色. 例如:
. -> tw. -> edu.tw. -> hcc.edu.tw. -> xxxx.hcc.edu.tw.
Internic/ICANN/IANA -> TWNIC -> MOE -> HCC(新竹縣網) -> 新竹區高教以下學校

163.in-addr.arpa. -> 19.163.in-addr.arpa. -> nnn.19.163.in-addr.arpa.
APNIC(2003以前為ARIN) -> HCRC(竹苗區網) -> 分配到/24的新竹區學校或單位

我猜是老師要求自己來...勿代手於廠商之便XD...

jabawork iT邦新手 2 級 ‧ 2015-11-16 10:38:18 檢舉

個人建議如果要換的話,不要用 windows 來做 dns server 啦!故障時,設定檔沒有辦法直接匯出,所以也就沒有辦法把設定檔備份下來,機器出問題的話,就得手動一台一台加進去。

如果可以的話用虛擬機架 dns ,不管是BSD, 還是 centos 、debian(ubuntu server),都會方便很多,學一次,終生適用啊!

panqing iT邦新手 4 級 ‧ 2015-11-17 08:15:13 檢舉

謝謝各位熱心回答,學校DNS機器是用一台十年前的PC,怕它隨時死亡,找一台SERVER 用hyper-v做DNS

2
littlemi7
iT邦新手 5 級 ‧ 2016-01-13 20:48:28

我記得Windows設定比Linux還好設定很多哈哈

jerry00218 iT邦好手 10 級 ‧ 2016-02-16 21:27:19 檢舉

對吃這行飯的人來說,我相信 Linux 是首選

cmwang iT邦大師 1 級 ‧ 2016-02-17 10:37:58 檢舉

jerry00218提到:
對吃這行飯的人來說,我相信 Linux 是首選

鵝跟Windows很不熟,不過印象中在Windows中光一個限制recursive service的IP範圍好像就不好搞了....

我要發表回答

立即登入回答