4 votos

DNS internos y Externos de Diferentes Servidores, Misma Zona

Estoy teniendo problemas para entender cómo funciona el DNS, o estoy teniendo problemas para configurar mi DNS correctamente (no es bueno). Actualmente estoy trabajando con un dominio, voy a llamar a webdomain.comy debo permitir que todos nuestros usuarios internos de salir a dotster para llegar a nuestro público las entradas DNS como en el resto del mundo. Luego, en la parte superior de eso, quiero ser capaz de suministrar sólo un par de anular las entradas DNS para probar los servidores y equipos que no está disponible públicamente. Como un ejemplo:

  • public.webdomain.com - debe obtener esta información de la dotster
  • outside.webdomain.com - debe obtener esta información de la dotster así

  • testing.webdomain.com - debe conseguir esto de mi dns interno del controlador

El problema que me parece que se esté ejecutando en cada paso es que si tengo un DNS interno controlador que contiene una zona de webdomain.com entonces me puede conseguir mi especificado interna entradas pero nunca consigue nada del servidor DNS público. Esto es cierto sin importar el tipo de servidor DNS, yo también uso-he intentado tanto, un Linux Bind9 y un Controlador de Dominio Windows 2008.

Supongo que mi gran pregunta es: ¿estoy siendo razonable pensar que un sistema debe ser capaz de comprobar mi especifica DNS interno y en el caso de que una entrada solicitada no existe, se producirá un error a la especificada servidor dns público -O - este es sólo la forma en que funciona el DNS y estoy perdido en la salsa?

Parece que no debería ser tan simple como decirle a mi servidor DNS interno para reenviar las solicitudes que no puede alcanzar a dotster, pero que no parece funcionar. Este podría ser un problema de firewall?

Gracias de antemano

EXTENDIDA

OK, así que hice un montón de investigación y se han de conectar en esto por un par de horas. Tengo esto en mi nombre.conf y yo sigo viendo el mismo resultado. Las llamadas internas son alimentados, pero de nada externo (en la zona de dominio controlado) es objeto de dumping. Cualquier ayuda sería genial! Además, este es un Ubuntu 9.04 OS estoy trabajando con.

Code removed because it was wrong.

LA FORMA CORRECTA -- AÑADIÓ DESPUÉS DE LA PREGUNTA CERRADA

Pues bien, gracias a la gente de aquí en serverfault ahora me funciona perfectamente en mi servidor y en una mucho más sucinta de la moda. Aquí está cómo hacerlo. A partir de una base de instalación de bind9 editar su nombre.conf.archivo local y agregar en una zona para CADA subdominio que desea redirigir:

/etc/bind/named.conf

// WEBDOMAIN.COM ENTRIES
    zone "test.webdomain.com" {
            type master;
            file "/etc/bind/zones/test.webdomain.com";
    };

    zone "alpha.webdomain.com" {
            type master;
            file "/etc/bind/zones/alpha.webdomain.com";
    };

    zone "beta.webdomain.com" {
            type master;
            file "/etc/bind/zones/beta.webdomain.com";
    };

// INTERNETSITE.COM ENTRIES
    zone "internal.internetsite.com" {
            type master;
            file "/etc/bind/zones/internal.internetsite.com";
    };

    zone "dev.internetsite.com" {
            type master;
            file "/etc/bind/zones/dev.internetsite.com";
    };

Editar /etc/bind/named.conf.opciones de archivo y agregar cualquier reenviadores que desea utilizar en la ubicación correcta:

/etc/bind/named.conf.opciones

options {
        directory "/var/cache/bind";

        forwarders {
                208.67.222.222;
                208.67.220.220;
                8.8.8.8;
                8.8.4.4;
        };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Crear una nueva carpeta llamada zonas en /etc/bind/zones/ y agregar un nuevo archivo para CADA una de las zonas que ha creado antes de que coincida con 'archivo' atributo anterior. El uso de test.webdomain.com como un ejemplo:

/etc/bind/zones/prueba.webdomain.com

$TTL    604800
@       IN      SOA     test.webdomain.com. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@                       IN      NS      test.webdomain.com.
test.webdomain.com.    IN      A       10.0.1.20

Donde 10.0.1.20 es el registro de la dirección ip que desea que este (sub)dominio de interés. De esta forma, el registro de test.webdomain.com está autorizado sólo para el subdominio y el DNS global de suministro de cualquier otro subdominios o dominios root como de costumbre.

7voto

JohnMcG Puntos5062

Lo que usted querrá hacer es crear una zona DNS para testing.webdomain.com en el servidor DNS interno. De esta manera el webdomain.com DNS no está organizada por el servidor interno, sino que es organizado por dotster.

Cuando alguien consultas para www.webdomain.com la solicitud será remitida a dotster para la búsqueda (desde el servidor de DNS local no está autorizada para esa zona), mientras que las solicitudes de testing.webdomain.com va a ser manejado por el servidor DNS interno.

5voto

Avery Payne Puntos11379

Usted necesita de vista Dividida DNS. Por su frontera máquinas, uso una externa de resolución. Para el entorno de prueba, utilice una hoja separada, interna de resolución. El interior de resolución tendrá su prueba de entrada en el DNS y respuestas desde un punto de vista; pero el mundo exterior va a ver otro "punto de vista" de su zona, que omite el entorno de prueba.

Otras SF entradas que pueden ser de interés:


Sólo tengo tiempo hoy de leche descremada en una extensión de tu post, así que aquí un primer vistazo:

options {                                       
    directory "/etc/bind";                   
    listen-on {          // why are these lines needed?
            10.0.1.5;    // the way it is set up, only your loopback
            127.0.0.1;   // and your LAN clients will be able to
                         // get answers; the outside world can't see boo
                         // because there's no interface/port pair
                         // to contact. I would just get rid of this and
              };         // not worry about what interfaces are being bound to
    // BTW, that listen-on line is why your outside queries are failing.
    auth-nxdomain no;                      
    allow-query { any; };                   
    recursion no;                          
    version "0";                           
};

También, el externo match-clients declaración

view "external" {
    match-clients { !localnets; any; };

puede ser hecho en

view "external" {
    match-clients { any; };

porque cuando se agrega a match-clients, ya suponiendo que no hay nada para hacer coincidir a comenzar; la negación de una ACL realmente no aportan mucho (porque no "existía" en ese punto de vista, para empezar, así que no hay razón para cancelar).

Estoy seguro de que probablemente he perdido algunas cosas, pero estas son las más obvias culpables.

2voto

ring0 Puntos2732

Parece que su zona de definición no es correcta. Se echa de menos la dirección IP para el servidor de nombres se declara como "webdomain.com".

Sugiero cambiar la definición de zona como

$TTL    604800
@       IN      SOA     webdomain.com. email.webdomain.com. (
                              4         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      webdomain.com.
webdomain.com.  IN A 10.0.1.5
test    IN      A       10.0.1.20

a continuación, reinicie el servidor (por ejemplo /etc/init.d/bind9 restart).

Desde la zona no se pudo cargar, debido a error, el dominio no puede ser resuelto.

1voto

kavoir.com Puntos2813

En el servidor DNS de Windows la instalación de una nueva ZONA para testing.webdomain.com. Al agregar el primer host dejar en blanco el campo nombre y puesto en la dirección IP que desea que los usuarios internos a resolver.

Este servidor tendrá autoridad para esa zona, por lo que las solicitudes serán dirigidas a la IP, de modo que no entre en conflicto con su resolución externa.

Yo uso esto en todos mis sitios mail.corpdns.com (debido a que los usuarios nunca se olvide de usar el nombre interno del servidor al intentar acceder al webmail, etc.).

Sospecho que esto se puede hacer en Linux/Bind así, pero no sé los pasos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;