Questions tagged «internal-dns»

在企业网络和VPN中可见的DNS,但在公共Internet上不可见的DNS。

5
如何确定我的DHCP服务器是什么?
我有些不小心的管理员留下了一个可悲的网络-我正在弄清楚究竟什么服务在哪里运行,而不排除某些服务同时从两个地方运行的可能性,这很有趣。 有两台Windows Server 2003服务器,一台装有Exchange 2010的Windows Server 2008服务器,以及位于LAN和WAN之间的SonicWall TZ210。通过DHCP连接的计算机会显示与SonicWall单元相对应的网关IP地址,但是未启用DHCP。 我在哪里以及如何发现正在运行DHCP的内容,以便对其进行管理?我还担心内部DNS和Windows域服务,因为网络上与自身冲突的信息似乎令人困惑。
2
多个反向DNS记录内部DNS
用户无法连接到互联网,某些站点无法正常工作。 我认为这与网络设备无关,但以防万一。 2个防火墙,Palo-Alto 4 Cisco Nexus 55XXT交换机 自大约10天前的上周以来,我们没有进行任何网络更改,一切运行正常。 我唯一能看到的就是,如果我对有问题的计算机执行ping操作,它将解析为与该计算机实际拥有的IP不同的IP 在最后一天,我们每小时收到多个有关IP冲突2的网络警报。 这仅影响2个用户 从其中一台PC出现问题: C:\>ipconfig | find "IPv4" IPv4 Address. . . . . . . . . . . : 12.43.168.248 C:\>hostname hostname-18 从其他机器ping通。 C:\>ping hostname-18 Pinging hostname-18.domain.com [12.43.168.105] with 32 bytes 来自不同机器的Nslookup。 C:\>nslookup 12.43.168.105 Server: ad-server.domain.com Address: 12.43.168.83 Name: hostname-18.domain.com …
2
工程技术应该拥有自己的DNS区域,委托还是子域?
我们有组织的主域(带有AD)example.com。过去,以前的管理员创建了其他几个区域-dmn.com,lab.example.com,dmn-geo.com等-以及子域和委托,这些都是针对不同工程组的。现在我们的DNS有点混乱。当然,当example.com工作站上的某人需要连接到任何其他区域/子域中的系统时,这当然会引起问题,反之亦然(部分原因是大多数区域/区域的传递和委派未正确配置) 。 我们的生产DNS与Active Directory集成在一起,但工程系统应与AD隔离。 我们正在讨论重组DNS和合并所有这些不同条目的方法。我看到我们可以采取三种不同的方法: 创建一个新区域,即“ dmn.eng”。这可以由IT使用我们的DNS服务器进行管理,也可以使用其名称服务器进行工程设计。 创建一个新的委托eng.example.com,将工程DNS合并到该子域中,然后让工程师管理该委托的名称服务器。 创建一个没有委派的新子域eng.example.com,并自行管理该子域的DNS。 我更喜欢创建一个代理子域,并让工程师完全控制该子域中自己的DNS结构。好处是,如果他们的DNS不起作用,则很可能不是我的错;)。但是,当某些事情不起作用时,责任仍然存在一些歧义,这需要与工程部门进行协调才能进行设置,配置和管理。 如果我们不委托子域,则意味着生产IT处理非生产DNS的工作量将大大增加(实际上,我们已经做了很多工作)。这样做的好处是,我们可以完全控制所有DNS,并且当某些问题不起作用时,毫无疑问,修复它是谁的责任。我们还可以添加诸如geo.eng.example.com之类的委托,以便在工程人员需要时提供更多的灵活性和控制力。 我真的不确定创建一个新区域dmn.eng的必要性或好处。 那么,针对此类情况的行业最佳实践和建议是什么?哪种解决方案是最简单的实施方案,并且可以在工程和生产之间提供无缝的名称解析?我可能会缺少的每个解决方案有哪些潜在的好处或陷阱? 要添加更多信息,我们是一家相当大的制造公司。这些工程师从事研发,开发和质量检查工作。实验室通常拥有自己的子网或整个网络,DHCP等。就组织和技术而言,它们是他们自己的小世界。 我们希望为工程实验室和网络保持某种程度的网络隔离,以保护我们的生产环境(请参考之前有关将工程DHCP服务器添加为权威AD DHCP服务器的工程师的问题 -这应该不会发生)。但是,实验室中工作站上的用户将需要访问我们生产网络中的资源,或者我们生产网络上工作站上的用户将需要连接到实验室系统,并且这种发生的频率足以证明一种分类的合理性。 -统一DNS。 现有的委托人已经拥有由工程部门管理的DNS服务器,但是在设置这些服务器的不同实验室中的工程师之间没有通信,因此,最常见的问题是子域之间的名称解析失败。由于工程师拥有这些代理服务器,因此我无法更正NS条目以使它们相互通信-因此,这是IT完全拥有的未委派DNS的优势。但是为生产和工程管理DNS 是一件令人头疼的事情,特别是因为工程可以每天对DNS进行更改。但是正如BigHomie在回答中提到的那样,这可能意味着工程将不得不雇用(或指定)一个真正的DNS管理员。而且我和那个人必须非常熟悉。 我不一定喜欢创建一个具有任意顶级域名或后缀的新区域的想法,但是我们已经拥有其他五个具有任意名称的区域,因此将其合并为一个区域仍然是一个改进。我确实知道存在其他公司,这些公司在其组织中的不同小组中确实设有单独的顶层区域,因此我很好奇何时合适以及该方法的优点/缺点是什么。 仅供参考,我只在这家公司呆了几个月,而以前的AD / DNS管理员也离开了公司,所以对于为什么存在任何现有的DNS结构,我没有任何可参考之处。
1
SSL服务器名称不匹配如何绕过ie11
我们有一个应用程序,长话短说,必须以这种方式进行设置,以确保应用程序的其余部分不会失败。 我们有一个域名 https:// server01 / AppNet 在IIS中,将443绑定设置为使用具有以下内容的证书: CN = server02 当我点击页面 https:// server01 / AppNet 我收到SSL警告 我发现这篇文章 /superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain 但要避免涉及以下内容: “不幸的是,它也将阻止浏览器抱怨您访问的每个其他站点上的地址不匹配。这不理想,但这是您使用IE时要做出的一种权衡。” 我也遵循了以下概述的步骤,但是仍然出现错误 修复1 –安装证书 右键单击“ Internet Explorer”图标,然后选择“以管理员身份运行”。 访问该网站,然后选择“继续使用该网站(不推荐)”选项。 单击地址栏中显示“证书错误”的位置,然后选择“查看证书”。 选择“安装证书...”。 选择“下一步”。 选择“将所有证书放入以下存储区”选项。 选择“浏览...”。 选择“受信任的根证书颁发机构”,然后选择“确定”。 出现安全警告时,选择“是”。 在“导入成功”消息上选择“确定” 在“证书”框中选择“确定”。 这仅适用于内部网络 我可以添加到IIS吗? 有什么我可以添加到DNS的内容吗? 还有其他解决方法吗?
12 ssl  iis  internal-dns 
1
Bind9的zones.rfc1918文件有什么意义?
在独立环境中使用Ubuntu 10.04 LTS服务器,并尝试使用视图为客户端的两个不同子网提供服务。在获取有关zones.rfc1918文件的错误时,所以我想知道该文件的用途。托管rfc1918地址有什么意义? 我正在使用的子网是rfc 1918地址,btw。包括默认的zones.rfc1918文件是否会让我头疼(更多)?
12 bind  internal-dns  rfc 
1
内部DNS指向内部服务器,但站点解析为公共站点吗?
我们有一个网站website.test.company.com,在内部DNS(服务器2012 r2)中,它具有10.0.0.21,这是我们内部的服务器地址。但是,当我们键入www.website.test.company.com它时,它会解析website.com并显示实时页面而不是我们的测试服务器?我想不出为什么有人会向我指出一个方向,在我看来,http路径甚至不应该超出网关?
1
为什么DNS服务器无法解析任何以.io结尾的域?
我有两个Windows域控制器。 10.10.10.10主要(赢得2008 R2) 10.10.10.20复制副本(赢得2012 R2) 第二个配置为第一个的副本。 大约每周一次,主要DC将负面缓存大多数 .io域。这样一来,公司中的任何人都无法访问以下站点: Chef.io packer.io yahoo.io github.io 奇怪的是,我仍然可以访问一些.io页面,例如github.io上的页面。 spuder.github.io/ 解决方案是将RDP放入DNS服务器并运行dnscmd /clearcache。这样可以将问题修复7到10天。 进一步的症状 仅影响主域控制器(辅助域控制器和其他域控制器可以很好地解析这些站点) 谷歌DNS服务器也可以工作 通常在星期三上午11点左右发生。 我对Windows不太熟悉,但是这是我尝试过的事情 看一下日志,我只会看到以下几行看起来很有趣 8:15AM The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns. 8:16AM A more recent version, version 4639 of zone 254.10.in-addr.arpa was found …
4
单个网络上的两个不同的域和域控制器
我试图确定是否有可能在同一子网内的同一网络中的两个单独的域上运行两个Active Directory域控制器。我不希望这两个域控制器以任何方式链接(帐户等),除非我已经连接了它们。 我目前对DNS的关注-就我而言,这是主要问题。由于我只有一个DHCP服务器处理整个网络,因此我希望将一组DNS服务器IP地址分发给所有客户端。但是,DomainA的DNS服务器将无法回答对DomainB的查询,依此类推。 我想这可以通过转发器解决-IE,我可以在DHCP配置中设置两个DNS服务器的IP地址,然后告诉DomainA将对* .DomainB的请求转发到DomainB的DNS,反之亦然。我还可以使用单个聚合将请求正确转发到各个服务器。 但是,我不知道这是否行得通,或者是否有更好的选择。如果这是一个商业网络,我将继续设置VLAN,多个DHCP服务器等。但是,我正在寻找简单性(与您在家中使用域控制器可以实现的简单性一样多...) 在同一网络上运行两个域控制器的原因?我在家里经营一个实验室,现在我说服了与我在一起的人来经营他们自己的域控制器。但是,出于安全考虑,我想将所有内容隔离开。 任何帮助表示赞赏。
2
我们的小型办公室应该有内部DNS服务器吗?
我管理着一个小型办公室(少于50人)。我们办公室中一直都有内部DNS服务器。DNS服务器非常简单明了,但过去我们在使用它们时遇到了麻烦。我们有一些办公室资源,这些资源仅在办公室或通过VPN外部可用,并且我们还有一些办公室资源以及公共地址和记录。这些资源目前具有相同的DNS名称,尽管这不是必须的,并且它们比以前少得多。 我们还已经拥有内部办公室名称空间,因此可以想象我可以使用我们内部办公室资源的所有私有IP地址填充我的公共DNS,而完全停止使用内部DNS。 这是一个好主意吗?我从未在没有内部办公室DNS的地方工作过。为什么我们仍要保留它呢?它曾经很关键,现在仍然很方便,但是我们遇到的问题不再让它感到方便了。 目前保留的理由: 拆分DNS使我们可以对内部托管但外部可用的那些资源使用相同的主机名 我们有一些不需要购买的测试域,但是如果我们摆脱了它们,则需要购买 ??? 它既熟悉又舒适? 摆脱它的原因: 目前不支持IPv6 拆分DNS时遇到了一些问题,主要是VPN配置 在服务器上进行不必要的维护
1
在Windows上启用不安全的DNS更新的实际风险是什么?
在Windows上启用不安全的DNS更新的实际风险是什么? 据我发现,启用不安全的DNS更新是使DHCP Linux客户端向FQDN注册其名称的要求。 我确实想知道这样做涉及的实际风险,以便评估启用这些功能是否可以。 据我所知,一台机器将无法接管另一个保留名称,这将是我现在唯一真正关心的问题。 显然是DDOS,但考虑到我们在这里谈论的是Intranet,我怀疑这可能是真正的风险。 您是否在您的域上启用了它?您是否曾因存在一些问题而不得不禁用它?
2
unbound / nsd返回SERVFAIL解析本地LAN DNS。单独使用nsd可以正常工作
我一直在使用unbound作为本地递归DNS服务器。刚刚添加了nsd来设置本地LAN DNS。nsd正在侦听端口53530,并且工作正常: $ dig @127.0.0.1 data2.datanet.home -p 53530 ; <<>> DiG 9.9.2-P2 <<>> @127.0.0.1 data2.datanet.home -p 53530 ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59577 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.