公司DNS SERVER 幾問?

active directory dns server

small IT 2021-02-22 12:37:53 ‧ 2456 瀏覽

架設Active Directory 入面的DNS SERVER, 裡頭入面有FORWARDER 的設定,應該用自己ISP 的DNS 或是自己對外的DNS SERVER 因為係公司自己阜管理,可以即時加減記錄?

延伸上一條問題,應該將對外的DNS SERVER,設定與Active Directory同一個NETWORK 嗎?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

bluegrass

iT邦高手 1 級 ‧ 2021-02-22 14:43:04

FORWARDER 一定要用"對外+公開"的

ISP的DNS別用, 那其實不是公開的

比如, 你司有兩上網ISP A和B

如果你防火牆沒設定好, 你是有機會A的REQUEST送到B去

然後B會DROP掉的, 因為ISP的DNS只服務自己的客戶IP, 也很合理

所以, FORWARDER改用8.8.8.8/1.1.1.1/4.2.2.2比較好

然後
"將對外的DNS SERVER,設定與Active Directory同一個NETWORK 嗎?"
看不懂的說

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

small IT iT邦新手 5 級 ‧ 2021-02-22 14:47:30 檢舉

謝謝你的回覆.
第二條問題,應否比對外查詢的DNS SERVER在同一個網路?
dns.abc.com 外部用123.123.123.123 內部用192.168.123.123
內部的ACTIVE DIRECTORY 的DNS FORWARDER 應該用192.168.123.123 或是不應該在同一個網路上?

bluegrass iT邦高手 1 級 ‧ 2021-02-22 14:53:30 檢舉

Um... 這樣說吧, WINDOWS DNS也有"PROXY"功能, 自己沒有的A RECORD會交到FORWARDER去

因為這特性, 所以所有公司內部電腦都應該[其實是必須]用192.168.123.123作為自己的DNS

而123.123.123.123就是192.168.123.123的FORWARDER

而dns.abc.com應該已經存在你192.168.123.123上的

因為你的192.168.123.123是AD+DC而且 "dns" 這主機已經加入到abc.com 這公司DOMAIN

一般情況下你應該不需要處理這問題

窮嘶發發發 iT邦高手 1 級 ‧ 2021-02-25 15:35:27 檢舉

而123.123.123.123就是192.168.123.123的FORWARDER 這句話不就是說 123.123.123.123 跟 192.168.123.123 是不同一台嘛
怎麼會是同一個 NETWORK 呢
基本上 DNS HOSTING 要考慮查詢者內外有別
我們這麼說好了你內部查 WWW 這台是在 192.168.123.80 這台內部主機，當然你內部的DNS 也寫好了 192.168.123.80 這台的A紀錄
而你的防火牆NAT出去之後是 123.123.123.123:80 上面
你如果在內部再加入 WWW 的A紀錄是 123.123.123.123 的話
會發生外部查詢 WWW 這個紀錄的時候有時候是 192.168.123.80 有時候是 123.123.123.123，這樣鐵定會造成錯誤的
給外部查詢的 DNS HOSTING 的IP不能有私人IP，必須全部都是公眾IP，給內部查詢的DNS HOSTING 的IP 如果是公眾IP，而這個公眾IP是經過 NAT或是埠對應轉的，你的防火牆要支援NAT轉換才能在內部找到這個公眾IP，如果你是打算做紀錄覆蓋的話，可以把任何的外域紀錄建立在內部DNS內，直接做IP指向來覆蓋外部的紀錄，這種方式，你DNS有做轉查也沒用，因為已經是本機覆蓋，只要來查這台DNS的用戶端都會認為這台DNS的紀錄為真，並不會跟外部的DNS做相互驗證的，個人小經驗分享

small IT iT邦新手 5 級 ‧ 2021-03-05 17:16:19 檢舉

應該這樣說:
公司的AD是一台內部用的DNS SERVER:
192.168.1.1,它的FOWARDER 已經指到8.8.8.8和1.1.1.1
本身的DOMAIN ABC.COM就是自己HOST 的.
有 dns1.abc.com 外部IP 係 123.123.123.123 用了NAT,內部就是192.168.1.123
有 dns2.abc.com 外部IP 係 123.123.123.124 用了NAT,內部就是192.168.1.124

我應唔應該將對外的DNS SERVER放在自己同一個NETWORK上, 即是192.168.1.X

第一條問題的延新,就是FORWARDER 應否用內部的DNS SERVER, 即是
192.168.1.123 及192.168.1.124.

或是以前提過用返8.8.8.8 及1.1.1.1.

謝謝各位耐心的解答

bluegrass iT邦高手 1 級 ‧ 2021-03-06 00:39:10 檢舉

你兩部DNS放左出街同你個DESIGN有咩關係呢

除非你有個USER硬膠膠手打左123.123.123.123做自己DNS

然後佢又接左係公司192.168.1.X度, 而你隻FIREWALL又冇搞LOOPBACK, 甘就會爆鑊

DNS SERVER 放在同一個NETWORK上冇問題, 好正常

FORWARDER 正常唔會用內部, 用街果D

small IT iT邦新手 5 級 ‧ 2021-03-08 11:37:47 檢舉

Thank you your reply.

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙