У нас есть две зоны прямого просмотра (intranet.com и mayberry.com), которые на самом деле не зарегистрированы для нас. Иногда наш сервер MS DNS пересылает запросы сетевых ресурсов в этих доменах в OpenDNS, который является нашим пересылкой.
Затем OpenDNS отвечает IP-адресом своей страницы «Не найдено», что создает проблему, пока мы не очистим DNS клиента и не попробуем снова.
Есть ли способ гарантировать, что эти домены разрешаются только нашим DNS-сервером? Возможно, это способ заблокировать пересылку для этих доменов или разрешить только авторитетный ответ для них?
Спасибо за помощь!
Сервер Microsoft DNS не пересылает запросы для доменов, для которых он является официальным. Я подозреваю, что вы указали «вторичный» DNS-сервер на своих клиентских компьютерах, который ссылается на другой DNS-сервер (например, OpenDNS), и вы периодически получаете разрешение от этого вторичного DNS-сервера.
Если вы находитесь в среде Active Directory, ни один из подключенных к домену компьютеров не должен иметь какой-либо DNS-сервер, указанный в его свойствах NIC (жестко установленный или доставленный через DHCP), который ссылается на DNS-сервер, который не работает в одном из ваших доменов. контроллеры. Ваши DNS-серверы, работающие на ваших контроллерах домена, должны разрешать внешние по отношению к лесу имена либо через серверы пересылки на другой DNS-сервер, либо через корневые ссылки.
Редактировать:
Похоже, вы говорите, что на клиентах указан DNS-сервер, который не является контроллером домена (то есть «мой шлюз»).
Непонятно, что вы имеете в виду под «рабом для DC». Предположим, что IP-адрес IP-адреса контроллера домена - «XXXX», IP-адрес «шлюза», указанного в качестве вторичного DNS-сервера, - «YYYY», а одно из внутренних доменных имен, которое не разрешается должным образом, - « foo.com ", выполните следующие команды и сравните результат:
nslookup foo.com X.X.X.X
nslookup foo.com Y.Y.Y.Y
Результат должен совпадать. Если это не так, значит, «шлюз» разрешает имя внутреннего домена иначе, чем контроллер домена, и это ваша проблема.
Пока «шлюз» разрешает имена точно так же, как контроллер домена, не проблема использовать его в качестве вторичного DNS-сервера. Однако, если он не разрешает имена точно так же, вам не следует использовать его в качестве вторичного DNS-сервера. Каждый раз, когда вы добавляете зону DNS, интегрированную в AD, на свой DC, вам необходимо настроить «шлюз» для разрешения имен в этой зоне таким же образом.
Пока вы меняете своих экспедиторов на те, которые не работают NXDOMAIN
переписывание может достичь ваших целей, поскольку оно будет направлено только на устранение симптомов проблемы, а не на основную причину.
Чтобы устранить основную причину, вам необходимо запретить MS DNS перенаправлять запросы для ваших внутренних доменов за пределы сайта.
Если это окажется невозможным, есть несколько серверов имен, которые с радостью (и надежно) будут авторитетно обслуживать локальные данные, одновременно перенаправляя запросы для других доменных имен за пределы сайта.
Мои личные фавориты BIND и Несвязанный, оба из которых доступны для серверов Windows.
Вы можете отключить эту функцию (несколько) в панели управления OpenDNS или перейти на сервер пересылки, который этого не делает. Google DNS работает хорошо (как сообщается), или вы можете просто запустить свой собственный рекурсивный сервер, который не зависит от восходящего потока.
Если OpenDNS возвращает ответ (его страница «Не найдено») вместо того, чтобы сказать, что ответа нет, значит, он говорит ложь, но вы не можете это контролировать.
Если ваш DNS-сервер является полномочным для домена (зоны), он вернет только то, что ему известно. Я никогда не видел перенаправления запросов DNS-сервера, если они являются авторитетными.
Если у вашего клиента есть несколько DNS-серверов, которые включают ваши DNS-серверы, а также другие DNS-серверы, тогда клиент может выбрать один из этих других серверов и, таким образом, получить ответы, когда ваши серверы сказали бы «без имени» или что-то подобное.
Все вышеизложенное верно для всех DNS-серверов, MSFT или других.
Похоже, это проблема разрешения имен на вашем DNS-сервере. По какой-то причине, когда кто-то запрашивает у вашего DNS-сервера адреса в двух указанных выше зонах, ваш DNS-сервер отвечает: «Я не знаю, иди и спрашивай Open DNS», это может быть вызвано тем, что зоны прямого просмотра не полностью актуальны для всех адресов в двух доменах в вашем вопросе. Я бы сравнил ваши списки зон с их доменами, чтобы убедиться, что ваша информация актуальна.
Вы можете сделать немного двойного резервирования, чтобы разрешить несколько путей запроса для рассматриваемых доменов. У вас есть пара зон прямого просмотра, и это хорошо, но если у этих доменов есть свои собственные DNS-серверы, вы также можете попробовать установить пересылки на свой DNS-сервер специально для этих доменов.
Если вы перейдете на вкладку пересылки в DNS, вы можете нажать кнопку «Создать» под полем «DNS-домен» и добавить конкретную запись для доменов, которые вы пытаетесь задействовать. Это добавит эти записи в список «Для всех других доменов DNS». Затем вы можете перейти к каждому из них и указать IP-адрес DNS-сервера в этих доменах.
Ага, используйте настоящий DNS-сервер (вместо MS).