Автор Тема: Помогите разобратсья с DNS  (Прочитано 4178 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Leaves

  • Пользователь
  • **
  • Сообщений: 87
  • Рейтинг: 0
  • Пол: Мужской
    • leaves.of.autumn
    • Просмотр профиля
  • Откуда: Казахстан
Помогите разобратсья с DNS
« : 11 декабря 2018, 08:34:51 »
Всем здравствуйте! Обрисую вкратце ситуацию. 4 сервера, на одном из них AD, у каждого по 2 сетевые карты, соответственно 1 сетевая карта смотрит в общую локалку, вторая в свитч провайдера (блок ip адресов статика), которые смотрят локалку, прописан: ip, маска и DNS AD. Которые смотрят в свитч провайдера прописаны IP, маска, шлюз и DNS провайдера. Еще в локальной сети для пользователей стоит роутер, со своим статичным IP из другого блока, который подключен в свитч провайдера, но в другой порт, на нём включен DHCP.  Ко всем 4 серверам есть прямой доступ по RDP по внешнему IP. Один нехороший человек на одном сервере на сетевой карте, которая смотрит в локалку включил службу ICS, после того как службу отключили и вернули настройки какие были, при входе на этот сервер по RDP после ввода логина и пароля, пишет: "Отказано в доступе". После того как отключить внешнюю сетевую карту на проблемном сервере на несколько секунд и заново включить, зайти по RDP становиться возможно, но на некоторое неопределенное время, затем ситуация повторяется. После редактирования реестра: ключ DWORD с именем “IgnoreRegUserConfigErrors” и присвойте ему значение “1”, ошибка отказано в доступе пропала, но вход на терминал занимает около минуты. Спрашивал на форумах, также нашел и на вашем форуме такое упоминание: "Убирайте внешние dns и настраивайте пересылку на них в локальном dns". Но как правильно это сделать не подсказывают. Поэтому прошу помощи здесь. Что мне нужно сделать? В свойствах DNS на KD на вкладке "Интерфейсы" стоит переключатель: "прослушивать по всем IP-адресам" Что ставить здесь? Далее, на вкладке "Сервер пересылки" Указаны ДНС адреса провайдера, но изменить их нельзя (Серверы пересылки недоступны, поскольку этот сервер не использует рекурсию). На вкладке дополнительно, стоит галочка "Отключить рекурсию (и серверы пересылки). Значит мне надо эту галочку убрать, на сервере пересылке указать ДНС адреса провайдера, а на вкладке "интерфейсы" все оставить как есть? А на внешних сетевых серверов оставить только айпи, маску и шлюз? Так? После всех этих манипуляций доступ из вне к серверам не пропадет? Спасибо!
Судьба играет человеком, а человек играет на трубе ©

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Помогите разобратсья с DNS
« Ответ #1 : 11 декабря 2018, 08:48:45 »
Как то мудрено, может попробуем решить задачу по другому, вы опишете цели для которых был построен этот Вавилон? и ещё не мешало бы всё таки дать схему включений, если в свитчах есть vlan  не забудьте это показать.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Leaves

  • Пользователь
  • **
  • Сообщений: 87
  • Рейтинг: 0
  • Пол: Мужской
    • leaves.of.autumn
    • Просмотр профиля
  • Откуда: Казахстан
Помогите разобратсья с DNS
« Ответ #2 : 11 декабря 2018, 09:08:27 »
Как то мудрено, может попробуем решить задачу по другому, вы опишете цели для которых был построен этот Вавилон? и ещё не мешало бы всё таки дать схему включений, если в свитчах есть vlan  не забудьте это показать.
На сервере, на котором сейчас AD есть база 1С для удаленных филиалов, что так не делают, знаю, на другом еще одна база поменьше, на 3 сервере другой сервис, которому необходим статичный IP. 4-ый сервер новый, на него сейчас переносятся все базы. Что планируется сделать: У всех серверов убрать внешку, поставить Керио и на нем настроить VPN. Но сейчас хочется разобраться именно с DNS, а именно:
Что мне нужно сделать? В свойствах DNS на KD на вкладке "Интерфейсы" стоит переключатель: "прослушивать по всем IP-адресам" Что ставить здесь? Далее, на вкладке "Сервер пересылки" Указаны ДНС адреса провайдера, но изменить их нельзя (Серверы пересылки недоступны, поскольку этот сервер не использует рекурсию). На вкладке дополнительно, стоит галочка "Отключить рекурсию (и серверы пересылки). 1)Значит мне надо эту галочку убрать, 2)на сервере пересылке указать ДНС адреса провайдера, 3)а на вкладке "интерфейсы" все оставить как есть? 4)А на внешних сетевых серверов оставить только айпи, маску и шлюз? Так? 5)После всех этих манипуляций доступ из вне к серверам не пропадет? Спасибо!


Updated: 11 December 2018, 09:11:28

если в свитчах есть vlan  не забудьте это показать
Vlan нету
Судьба играет человеком, а человек играет на трубе ©

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Помогите разобратсья с DNS
« Ответ #3 : 11 декабря 2018, 09:15:26 »
Почитайте для начала, а то у вас каша в голове: https://retifff.wordpress.com/2009/12/05/settings_dns/


Updated: 11 December 2018, 09:15:59

И схему нарисуйте.

Оффлайн Leaves

  • Пользователь
  • **
  • Сообщений: 87
  • Рейтинг: 0
  • Пол: Мужской
    • leaves.of.autumn
    • Просмотр профиля
  • Откуда: Казахстан
Помогите разобратсья с DNS
« Ответ #4 : 11 декабря 2018, 09:32:13 »
Почитайте для начала, а то у вас каша в голове: https://retifff.wordpress.com/2009/12/05/settings_dns/
Эту тему видел. Kerio пока нет. Но получается что она актуальна и в моем случае?
И схему нарисуйте.
Схема сети: https://yadi.sk/i/JO07OFvv1VIYCg
P.S. В этом сообщение прошу подсказки как именно быть в моем случае...
Судьба играет человеком, а человек играет на трубе ©

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Помогите разобратсья с DNS
« Ответ #5 : 11 декабря 2018, 09:42:52 »
А вот этот роутер в самом низу, это что такое и для чего?


Updated: 11 December 2018, 09:44:09

А сервер OKTel с какой напрямую целью подключен к DIR-100?

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Помогите разобратсья с DNS
« Ответ #6 : 11 декабря 2018, 09:50:17 »
Порсмотрел на схему. Но ЗАЧЕМ? Почему всё не убрать внутрь за роутер и не сделать проброс портов тех сервисов которые отдаются наружу? И тогда сделать уже один нормальный DNS внутри сети.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Leaves

  • Пользователь
  • **
  • Сообщений: 87
  • Рейтинг: 0
  • Пол: Мужской
    • leaves.of.autumn
    • Просмотр профиля
  • Откуда: Казахстан
Помогите разобратсья с DNS
« Ответ #7 : 11 декабря 2018, 09:55:46 »
А вот этот роутер в самом низу, это что такое и для чего?
На нём включен DHCP и он раздает интернет локальным пользователям
А сервер OKTel с какой напрямую целью подключен к DIR-100?
4-ёх канальный SIP номер от провайдера.

Свитч провайдера: В офис заходит оптика в конвертер: с него в дир 100. Далее 1 порт - MP118 телефония; 2 порт - статик ip на роутер; 3 порт - (ip адреса из другого блока, прописаны на серверах) 4 порт - SIP телефония.


Updated: 11 December 2018, 10:07:47

Порсмотрел на схему. Но ЗАЧЕМ?
Совершенно согласен. На ip для серверов своя скорость, на роутере своя - ниже. Поэтому и планирую все переделать, поставить Kerio и убрать внешние ip с серверов... Как раз запланировал это на зиму. Но можете объяснить насчет DNS?
Сейчас на вкладке "Интерфейсы" в свойствах DNS стоит переключатель: "прослушивать по всем IP-адресам" верхним стоит внешний статичный IP, нижним - IP AD; на вкладке "Дополнительно" стоит галка "Отключить рекурсию (и серверы пересылки)", на вклдаке "Сервер пересылки" не даёт ничего менять, т.к. наверное активен переключать "Отключить рекурсию (и серверы пересылки)"...
« Последнее редактирование: 11 декабря 2018, 10:10:00 от Leaves »
Судьба играет человеком, а человек играет на трубе ©

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Помогите разобратсья с DNS
« Ответ #8 : 11 декабря 2018, 10:15:24 »
На нём включен DHCP и он раздает интернет локальным пользователям
%) А почему нельзя сразу с DIR-100 и раздавать интернет и DHCP на нем же включить?

Т.е. я пока в принципе не понимаю тоже, нафиг два роутера? DHCP вообще лучше на Windows поднять (раз там все равно DNS есть, DHCP можно туда же), а на роутерах выключить.

Сейчас на вкладке "Интерфейсы" в свойствах DNS стоит переключатель: "прослушивать по всем IP-адресам" верхним стоит внешний статичный IP нижним DNS AD;
Это значит, что принимать запросы со всех сетевых интерфейсов, которые есть в системе. Лучше оставить только локальный (DNS AD), а для всех ресурсов в DMZ создавать DNS-записи вручную (если понадобится).


Updated: 11 December 2018, 10:19:58

на вкладке "Дополнительно" стоит галка "Отключить рекурсию (и серверы пересылки)", на вклдаке "Сервер пересылки" не даёт ничего менять, т.к. наверное активен переключать "Отключить рекурсию (и серверы пересылки)"...
на вкладке "Дополнительно" стоит галка "Отключить рекурсию (и серверы пересылки)", на вклдаке "Сервер пересылки" не даёт ничего менять, т.к. наверное активен переключать "Отключить рекурсию (и серверы пересылки)"...
Ну да, уберите этот переключатель и настройте пересылку (и просмотр root hints тоже) на какие-нибудь публичные DNS, типа гугловых.
« Последнее редактирование: 11 декабря 2018, 10:21:20 от Retif »

Оффлайн Leaves

  • Пользователь
  • **
  • Сообщений: 87
  • Рейтинг: 0
  • Пол: Мужской
    • leaves.of.autumn
    • Просмотр профиля
  • Откуда: Казахстан
Помогите разобратсья с DNS
« Ответ #9 : 11 декабря 2018, 10:23:22 »
А почему нельзя сразу с DIR-100 и раздавать интернет и DHCP на нем же включить?
DIR 100 это не наш роутер, а роутер провайдера. На нем на каждом порту прописано свое устройство: 1 порт - MP118 телефония; 2 порт - статик ip на роутер; 3 порт - (ip адреса из другого блока, прописаны на серверах) 4 порт - SIP телефония.
Это значит, что принимать запросы со всех сетевых интерфейсов, которые есть в системе. Лучше оставить только локальный (DNS AD)
Может ли быть из-за этого долгий вход на RDP на один из серверов? До этого мне давали совет на другом форуме: "Отключить рекурсию (и серверы пересылки). Снятие этого флажка позволит вам настроить пересылку. Пересылка нужна для того, чтобы клиенты домена могли определять адреса внешних имён, обращаясь к DNS-серверам AD, а не к внешним. Соответственно, после настройки пересылки вы сможете убрать внешний DNS в свойствах TCP/IP на проблемном сервере. Т.е. после настройки сервера пересылки, мне со всех серверов на внешней сетевой карте убрать внешние DNS провайдера и поставить DNS AD? Или вообще DNS на внешней сетевой карте оставить пустым? В таком случае не пропадет доступ по RDP из вне? ..


Updated: 11 December 2018, 12:59:27

на внешней сетевой карте убрать внешние DNS провайдера и поставить DNS AD? Или вообще DNS на внешней сетевой карте оставить пустым? В таком случае не пропадет доступ по RDP из вне?
Проясните вот этот момент, будьте добры.
« Последнее редактирование: 11 декабря 2018, 12:59:27 от Leaves »
Судьба играет человеком, а человек играет на трубе ©

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Помогите разобратсья с DNS
« Ответ #10 : 12 декабря 2018, 13:40:59 »
Или вообще DNS на внешней сетевой карте оставить пустым?
Да. Он там не нужен. Доступ не пропадет.

Оффлайн Leaves

  • Пользователь
  • **
  • Сообщений: 87
  • Рейтинг: 0
  • Пол: Мужской
    • leaves.of.autumn
    • Просмотр профиля
  • Откуда: Казахстан
Помогите разобратсья с DNS
« Ответ #11 : 12 декабря 2018, 15:02:38 »
Да. Он там не нужен. Доступ не пропадет.
Спасибо! Попробую, о результатах - отпишу
Судьба играет человеком, а человек играет на трубе ©

Оффлайн Leaves

  • Пользователь
  • **
  • Сообщений: 87
  • Рейтинг: 0
  • Пол: Мужской
    • leaves.of.autumn
    • Просмотр профиля
  • Откуда: Казахстан
Помогите разобратсья с DNS
« Ответ #12 : 14 декабря 2018, 14:45:04 »
Да. Он там не нужен. Доступ не пропадет.
Сделал как вы мне тут разъяснили. На проблемный сервер и вправду начал залетать, но после того как убрал ДНС, в центре сетями и общим доступом "Появилось несколько сетей", так и должно было быть?)
Судьба играет человеком, а человек играет на трубе ©

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Помогите разобратсья с DNS
« Ответ #13 : 14 декабря 2018, 14:51:46 »
но после того как убрал ДНС, в центре сетями и общим доступом "Появилось несколько сетей", так и должно было быть?)
Сделайте скриншот, я вообще не понял, о чем вы.

Оффлайн Leaves

  • Пользователь
  • **
  • Сообщений: 87
  • Рейтинг: 0
  • Пол: Мужской
    • leaves.of.autumn
    • Просмотр профиля
  • Откуда: Казахстан
Помогите разобратсья с DNS
« Ответ #14 : 18 декабря 2018, 10:33:05 »
Сделайте скриншот, я вообще не понял, о чем вы.
Добрый! https://yadi.sk/i/BDzhAsqIMeNXzw
Судьба играет человеком, а человек играет на трубе ©