先確認我的認知與設定沒有錯:
A. GODADDY的DNS設定可以作為是外部DNS SERVER
B. 內部DNS SERVER就是設定DOMAIN NAME => PRIVATE IP使用
針對內部DNS解析的改善有詢問GPT,有提供幾種處理辦法(針對Windows DNS SERVER)
因為那台DNS有兼用DHCP與AD功能,想請問有人會特別設定上述3~4的設定嗎?或是有建議?
有測試內部NSLOOKUP A.EXAMPLE.COM(子網域) PRIVATE_IP_NAME,真的是會一直找不到,所以內部使用網站會卡。
所以,你碰到的問題是:"內部AD 的DNS 反應慢,會慢到查內部 FQDN 都會無回應?"
如果是查內網的FQDN,不應該會慢到找不到,但你問題中說: "有測試內部NSLOOKUP A.EXAMPLE.COM(子網域) PRIVATEIPNAME,真的是會一直找不到,所以內部使用網站會卡。"
所以,我只能先假定你 AD 的反應真的很慢,慢到 DNS 無回應。
所以,我建議你可以做以下二個方向的測試,確認一下是否真的是AD 的 DNS 無反應。
一、Client PC ,開內部網站時,用IP開,交叉驗證一下,是不是 by-pass DNS 查詢,內部網頁反應是OK的。
如果你的 Web 一定要用 FQDN 才能開,那就在 Client PC ,修改 hosts 檔案,把 FQDN IP 直接寫在檔案內,這樣 Client PC 也不會去查DNS,理論上本機紀錄,會更快。
二、因為 AD 一定是DNS,但DNS可以是另一台 Number Server ,如果是因為AD主機反應慢,那就另建一台獨立Server ,然後再加入網域,起 DNS服務並註冊到 Domain ,並且確認 DNS 有正常同步。
然後 Client PC 就可以把 DNS IP,指到新的 DNS,並用 nslookup 查一下反應是否OK。新DNS,它只當DNS,如果說還會無反應,那應該就不光是 DNS 的問題了。
以上二個測試方式你測過後,大約就可確定是否DNS有問題。
nslookup 會一直連線逾時,但網站FQDN還是上的去。
於內部使用IP連線正常,於內部使用FQDN連線則會很慢。
方案二應該不會用且是大工程,意味著所有Client的DNS都要改IP。
另外補充:A.EXAMPLE使用於DMZ的一台部分對外主機,並使用IIS服務,其主機的DNS為一內一外。
如果你內網IP都是 由DHCP Server發配的,在DHCP上設置 DNS 在client取得 IP的時候,就獲取正確的DNS設置了,就不是什麼大工程。
nslookup逾時,那你client端對 Server的DNS查詢不就是無效的。
當你還是可以透過FQDN瀏覽,此時你的電腦是透過外部IP還是區網IP瀏覽你的網站?
有什麼理由要將DNS Server服務對外讓外面的人訪問呢?這容易被攻擊。
若你IIS內外都可訪問,公共的Domain應該已經有設定將網站設好可以外網訪問了。公共的DNS已經可以解析你的外網訪問需求。內部DNS server讓外界訪問的意思是?
外網使用者透過公共dns訪問,外網訪問網站
內網使用者透過區網DNS Server解區網IP,內部訪問才會快,
都在內網了,使用者還透過外部來訪問區網Server就多繞一圈了?
您好,感謝回答。依序回答您的問題,我的理解:
1.每次買新電腦都會設定電腦指定兩個DNS IP,之前有聽前輩說兩個都要設定,不然會抓到外面DNS,然後AD帳號就會不能登入。
2.我是哪一點讓您覺得有開放內部DNS給外部訪問呢?
3.針對這點,所以有於內部DNS設定A.EXAMPLE=>PRIVATE IP,就是希望內部使用者可以直接走內部,但因為連線狀況不佳,才會於此掛問題。
用IP開DMZ 的網頁OK,但用 FQDN 不行?
你要不要用改 hosts 的方式,再比對一下結果?
因為AD 服務如果有問題,那 DNS 無回應,也是有可能的。
只是真的有這麼忙嗎?如果是這樣,那就要考慮是否要昇級 OS 或換主機了。
"每次買新電腦都會設定電腦指定兩個DNS IP,之前有聽前輩說兩個都要設定。"
"nslookup 會一直連線逾時"
nslookup 使用兩個DNS IP查詢,逾時就是有問題,去確認DNS Service死活。有時候IT評估 記憶體資源會錯估,給太少,當OS記憶體不足,Windows會先kill 前三大記憶體用量大戶,DNS可能早就被砍,或其他原因已死很久了。
有AD的環境,你一定要確認你DNS的是不是活著,前輩說要設定,但沒跟你說要確認DNS是否還活著吧? 你都知道nslookup連線逾時,在IT看來是很嚴重要立刻解決的。看是服務異常還是網路的問題造成的無法nslookup查詢。
"有聽前輩說兩個都要設定,不然會抓到外面DNS,然後AD帳號就會不能登入。"
這句話很明顯就是,DHCP Server就沒有設定你們AD下電腦需要的DNS。
有可能AD後導入,DHCP已經存在,究竟你們的DHCPServer在哪裡,你知道嗎? 是網通的DHCP還是Windows Server上的DHCP呢?兩者都能控制DNS要發什麼在DHCP內一起派給PC端。
DHCP確定與AD同一台且正常發揮。
恩不好意思,今天測試是對指令有誤解,DNS解析是沒問題了。
假如那台DMZ主機是192.168.10.100,
內部DNS是192.168.1.1
我指令下成nslookup A.example.com 192.168.10.100了...
言歸正傳,問題是內部使用FQDN連線會很卡(但可以使用)。
所以我都請USER內部盡量用PRIVATE IP連線,但FQDN連線問題也是希望能解決。
抱歉我今早才看清你已回應過 DNS 查詢是正常的。
我修改一下建議測試方向:
1、開Web ,按F12 -> Network ,"Ctrl+F5 "查看一下 各元件跑的時間,尤其看一下 "Status 是否都是 200".
FQDN &IP 比對一下有沒有明顯差別,以此也可以判斷一下和 FQDN 是否有問題。
2、在Client PC 上 抓封包,分析一下內容是否有問題
這個要一點經驗,重點也是看 Client 和 Web Server 之間有沒有正常回應,有沒有掉包。
3、先在Client PC ,改 hosts 內容,把 FQDN IP 加上,再開網頁看 by-pass DNS 後,是否有改善。
這是用 本機 hosts 的紀錄,讓它開 FQDN 時,直接本機回應,也等於 by-pass DNS,重點也是在佐證是否DNS 會造成 Web 慢。
最後再確認一下,你所謂的 PRIVATE IP ,就是指在 DMZ 的 Web服務 IP (192.168.10.100),不是其他內部的IP吧!
iThome鐵人賽
看影片追技術
