iT邦幫忙

0

公司DNS SERVER 幾問?

  • 分享至 

  • xImage

架設Active Directory 入面的DNS SERVER, 裡頭入面有FORWARDER 的設定,應該用自己ISP 的DNS 或是自己對外的DNS SERVER 因為係公司自己阜管理,可以即時加減記錄?

延伸上一條問題,應該將對外的DNS SERVER,設定與Active Directory同一個NETWORK 嗎?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
bluegrass
iT邦高手 1 級 ‧ 2021-02-22 14:43:04

FORWARDER 一定要用"對外+公開"的

ISP的DNS別用, 那其實不是公開的

比如, 你司有兩上網ISP A和B

如果你防火牆沒設定好, 你是有機會A的REQUEST送到B去

然後B會DROP掉的, 因為ISP的DNS只服務自己的客戶IP, 也很合理

所以, FORWARDER改用8.8.8.8/1.1.1.1/4.2.2.2比較好

然後
"將對外的DNS SERVER,設定與Active Directory同一個NETWORK 嗎?"
看不懂的說

看更多先前的回應...收起先前的回應...
small IT iT邦新手 5 級 ‧ 2021-02-22 14:47:30 檢舉

謝謝你的回覆.
第二條問題,應否比對外查詢的DNS SERVER在同一個網路?
dns.abc.com 外部用123.123.123.123 內部用192.168.123.123
內部的ACTIVE DIRECTORY 的DNS FORWARDER 應該用192.168.123.123 或是不應該在同一個網路上?

bluegrass iT邦高手 1 級 ‧ 2021-02-22 14:53:30 檢舉

Um... 這樣說吧, WINDOWS DNS也有"PROXY"功能, 自己沒有的A RECORD會交到FORWARDER去

因為這特性, 所以所有公司內部電腦都應該[其實是必須]用192.168.123.123作為自己的DNS

而123.123.123.123就是192.168.123.123的FORWARDER

而dns.abc.com應該已經存在你192.168.123.123上的

因為你的192.168.123.123是AD+DC而且 "dns" 這主機已經加入到abc.com 這公司DOMAIN

一般情況下你應該不需要處理這問題

而123.123.123.123就是192.168.123.123的FORWARDER 這句話不就是說 123.123.123.123 跟 192.168.123.123 是不同一台嘛
怎麼會是同一個 NETWORK 呢
基本上 DNS HOSTING 要考慮查詢者內外有別
我們這麼說好了你內部查 WWW 這台是在 192.168.123.80 這台內部主機,當然你內部的DNS 也寫好了 192.168.123.80 這台的A紀錄
而你的防火牆NAT出去之後是 123.123.123.123:80 上面
你如果在內部再加入 WWW 的A紀錄是 123.123.123.123 的話
會發生外部查詢 WWW 這個紀錄的時候有時候是 192.168.123.80 有時候是 123.123.123.123,這樣鐵定會造成錯誤的
給外部查詢的 DNS HOSTING 的IP不能有 私人IP,必須全部都是公眾IP,給內部查詢的DNS HOSTING 的IP 如果是公眾IP,而這個公眾IP是經過 NAT或是埠對應轉的,你的防火牆要支援NAT轉換才能在內部找到這個公眾IP,如果你是打算做紀錄覆蓋的話,可以把任何的外域紀錄建立在內部DNS內,直接做IP指向來覆蓋外部的紀錄,這種方式,你DNS有做轉查也沒用,因為已經是本機覆蓋,只要來查這台DNS的用戶端都會認為這台DNS的紀錄為真,並不會跟外部的DNS做相互驗證的,個人小經驗分享

small IT iT邦新手 5 級 ‧ 2021-03-05 17:16:19 檢舉

應該這樣說:
公司的AD是一台內部用的DNS SERVER:
192.168.1.1,它的FOWARDER 已經指到8.8.8.8和1.1.1.1
本身的DOMAIN ABC.COM就是自己HOST 的.
有 dns1.abc.com 外部IP 係 123.123.123.123 用了NAT,內部就是192.168.1.123
有 dns2.abc.com 外部IP 係 123.123.123.124 用了NAT,內部就是192.168.1.124

我應唔應該將 對外的DNS SERVER放在自己同一個NETWORK上, 即是192.168.1.X

第一條問題的延新,就是FORWARDER 應否用內部的DNS SERVER, 即是
192.168.1.123 及192.168.1.124.

或是以前提過用返8.8.8.8 及1.1.1.1.

謝謝各位耐心的解答

bluegrass iT邦高手 1 級 ‧ 2021-03-06 00:39:10 檢舉

你兩部DNS放左出街同你個DESIGN有咩關係呢

除非你有個USER硬膠膠手打左123.123.123.123做自己DNS

然後佢又接左係公司192.168.1.X度, 而你隻FIREWALL又冇搞LOOPBACK, 甘就會爆鑊

DNS SERVER 放在同一個NETWORK上冇問題, 好正常

FORWARDER 正常唔會用內部, 用街果D

small IT iT邦新手 5 級 ‧ 2021-03-08 11:37:47 檢舉

Thank you your reply.

我要發表回答

立即登入回答