19 votos

Cómo han de DNS de Windows Server usar el archivo hosts para resolver nombres de host específicos

[NOTA: La solución de esta pregunta es perfecto, por algo que se apartan de lo que el título indica.]

Me estoy enfrentando un pequeño problema con el DNS de Windows Server 2003 service. En mi corporación, estoy ejecutando el servidor DNS de Microsoft(172.16.0.12) para realizar la resolución de nombres para la intranet de mi empresa(nombre de dominio termina en dev.nls. la resolución de IP 172.16..), y también se configura como un reenviador DNS a otro de los nombres de dominio(por ejemplo,*.google.com , *.sf.net) a Internet real de los servidores DNS. Este servidor DNS interno nunca tiende a servir a los usuarios de mundo exterior.

Y estamos corriendo un servidor de correo(servicio de correo entrante para un real de dominio de Internet @nlscan.com) en el interior de la empresa firewall el cual puede ser consultado en cualquiera de estas opciones:

  1. mediante la conexión a 172.16.0.10 desde dentro de la intranet.
  2. mediante la conexión a correo electrónico.nlscan.com(resuelto a 202.101.116.9) de Internet.

Tenga en cuenta que 172.16.0.10 y 202.101.116.9 no es la misma máquina física. El 202 uno es un servidor de seguridad de la máquina que hacer el reenvío de puertos de los puertos 25 y 110 de la intranet de la dirección de 172.16.0.10 .

Ahora mi pregunta: Si los usuarios dentro de la LAN corporativa que se desea resolver mail.nlscan.com, se resuelve en 202.101.116.9. Eso es correcto y viable, PERO NO es BUENO, porque el tráfico de correo que va a la máquina cortafuegos luego rebota a 172.16.0.10 . Espero que nuestro servidor DNS interno puede interceptar el nombre mail.nlscan.com y resolver en 172.16.0.10 . Por lo tanto, espero que yo pueda escribir una entrada en el archivo "hosts" en 172.16.0.12 para ello. Pero, ¿cómo puede el servidor DNS de Microsoft reconocer este archivo "hosts"?

Tal vez usted sugiere, ¿por qué no tiene la intranet de uso de usuario 172.16.0.10 para acceder a mi servidor de correo? Tengo que decir que es un inconveniente, supongamos que un usuario(empleado) trabaja en su computadora portátil, durante el día en la oficina y en la noche en su casa. Cuando él está en casa, él no puede usar 172.16.0.10 .

La creación de una zona de nlscan.com en nuestro servidor DNS interno no es factible, debido a que el servidor de nombres para nlscan.com de dominio se encuentra en nuestro ISP, y es responsable de la resolución de otros nombres de hosts y subdominios bajo nlscan.com .

Gracias de antemano.

[EDITAR]

Como WesleyDavid sugerido, que me siga la solución de simplemente crear una zona llamada mailserver.nlscan.com y un lugar sin nombre, en Un registro en esa zona . El tiempo demuestra que esto funciona bien.

12voto

Wesley Puntos 22784

La última parte de este post está mal. Yo estaba bajo la impresión de que, a partir de algunas cosas que había leído en la web (si es en la web, debe ser cierto!) que parte de que el Servidor DNS de Windows por el Servicio de tareas para la creación de su caché era también cargar su archivo de host en la memoria caché junto con su local de la zona de datos. He buscado de todo y no se pudo encontrar evidencia de esto. He probado la teoría en mi propio Server 2008 R2 de la máquina y se encontró que el archivo hosts no fue utilizado para construir el DNS del Servidor de Caché.

Sin embargo, creo que tengo un poco más elegante solución que Massimo. En lugar de crear una zona autorizada para la totalidad de la nlscan.com de la zona, basta con crear una zona llamada mailserver.nlscan.com y un lugar sin nombre, en Un registro en esa zona. Los sin nombre Un registro tendrá el mismo nombre que el de la propia zona y que se le puede dar la dirección IP que desee. Todos los demás dominios debajo de nlscan.com así como nlscan.com sí va a resolver, mediante el DNS público.

Acabo de probar esto en mi propio Server 2008 R2 servidor DNS y fue capaz de hacer que mi amigo la página web del nessus.nl) resolver a través de servidores DNS públicos, pero el subdominio específico (blog.nessus.nl) para resolver un Apple.com la dirección IP. Probarlo y ver si funciona para usted.

Mayores, mal post comienza:

Si mi interpretación es correcta (EDIT: y no es), cuando el DNS caché en el Servidor 2003 de la máquina que tira en las entradas del archivo hosts, así como los datos de la zona. Colocando 172.16.0.10 mailserver.nlscan.com en su Servidor 2003 de la máquina archivo hosts debe resolver el problema. Reiniciar sus servicios de DNS después de cambiar el archivo hosts.

El uso de ipconfig /displaydns en cualquier máquina con Windows (en concreto, su Server 2003 DNS de la máquina) para ver su archivo de host entradas. También hay que tener en cuenta que las respuestas negativas se almacenan en caché en los clientes para siempre ejecutar ipconfig /flushdns en los clientes que usted está experimentando. Lo contrario va a terminar abusando de usted en contra de diversos objetos duros como los que se preguntan por qué sus clientes no pueden resolver un nombre que acaba de entrar en una zona / archivo hosts. =)

¿Has probado esta y fracasado?

3voto

suraj jain Puntos 111

El deseo de tener a los usuarios internos obtener direcciones ip internas de recursos, mientras que los externos los usuarios externos de IPs para esos mismos recursos es común. Se refiere a la división del cerebro DNS. Usted tiene un servidor DNS que se enfrenta el internet y otro servidor DNS interno para los usuarios locales. Los usuarios internos el uso de DHCP en la red y el servidor DHCP de anunciar el servidor DNS interno. Cuando los usuarios están fuera de la oficina, su servidor DHCP asignará a un servidor DNS que sólo se conoce sobre la zona externa.

Usted parece querer cerebro dividido DNS, sin la realidad de hospedaje de la zona internamente. Te sugiero que aloja la zona internamente es problemática debido a que usted no desea que los usuarios a obtener la IP interna que cuando se trabaja desde casa, pero eso no tiene sentido porque cuando ellos están en casa, que están consiguiendo su IP desde un servidor DHCP que no va a anunciar su servidor DNS interno. Se va a anunciar su servidor DNS del ISP que sólo se conoce acerca de su zona externa y así sólo les proporcione direcciones IP externas.

Por último, no creo que vas a tener éxito con preguntar a un servidor DNS para servir a los registros desde el archivo hosts en el servidor DNS. Un servidor DNS sirve registros de sus archivos de zona. El archivo hosts local en que el servidor DNS se propaga entradas en los locales del cliente a resolver cache que sólo es aplicable a las búsquedas en la máquina. Las entradas no son servidos por el servidor DNS que es un mecanismo diferente.

Leo en el cerebro dividido DNS - es la forma normal de manejar esta situación.

2voto

Russ Wheeler Puntos 173

Wes: no estoy seguro de que sonó usted, pero me gustaría aclarar el uso de los hosts de archivos: El archivo hosts es utilizado por el cliente DNS de resolución de componente, no el servidor DNS componente. Una entrada en el archivo hosts en un servidor DNS será utilizado por el servidor DNS cuando actúa como un cliente de DNS. Por ejemplo, una entrada en mi W2K8 del servidor DNS archivo hosts como este:

1.1.1.1 test.test.com

se carga en el servidor DNS DNS de caché de cliente (no es de memoria caché del servidor). Si me ping test.test.com desde mi servidor DNS devuelve 1.1.1.1 como se esperaba. Si luego de ejecutar nslookup en el servidor DNS y preguntar por test.test.com devuelve la dirección ip pública registrada para test.test.com como el cliente DNS componente en el servidor DNS está pidiendo el componente de servidor DNS para la resolución (solo la forma de cualquier otro cliente de DNS). Es una confusa idea de envolver su cabeza alrededor, pero el servidor DNS también es un cliente de DNS, y cuando el cliente DNS componente es el llamado a la acción que actúa como cualquier otro cliente de DNS, examinando su propio DNS caché del cliente, incluyendo las entradas de pre-cargado desde el archivo hosts. Sólo cuando el cliente DNS componente utiliza el servidor DNS componente (mediante la consulta al servidor DNS(s) configurado en TCP\IP propiedades, que debe señalarse a sí mismo) del servidor DNS caché se llenan con la información correcta.

Cualquier cliente DNS consulta el servidor DNS siempre obtendrá el "real" de la respuesta y no la entrada de los ejércitos, porque el servidor DNS DNS de caché del cliente es utilizado por el servidor de sí mismo (como un cliente de DNS) y no por el servidor DNS componente.

1voto

yulia Puntos 16

Que yo sepa, no hay manera de hacer DNS de Windows el uso de la hosts archivo para manejar la resolución de nombres; pero esto no es necesario.

De forma segura puede crear una zona en el servidor DNS interno con el mismo nombre como una zona de Internet; lo que va a suceder es, su servidor de manejar las solicitudes de nombres en la zona, usando sus propios datos, en lugar de enviar las solicitudes a los servidores de nombres autoritativos para esa zona; esto a veces se llama "shadowing", ya que hace que el "real" de la zona pública no está disponible para el cliente interno, en lugar de contestar con "falso" de datos.

Lo que debe tener cuidado es, se debe rellenar este de la zona interna con todos los nombres que usted necesita, incluso mediante el uso de direcciones IP públicas donde sea necesario; de lo contrario, los clientes internos serán incapaces de resolver los nombres.

Digamos que el público de la zona se parece a esto:

www.nlscan.com    202.101.116.8
mail.nlscan.com   202.101.116.9

Usted quiere que los clientes internos para resolver mail.nlscan.com como 172.16.0.10; eso está bien, por lo que se crea un "nlscan.com" la zona en el servidor DNS interno y poner "mail.nlscan.com -> 172.16.0.10".
Pero ahora sus clientes internos no puede resolver "www.nlscan.com" porque el servidor piensa que tiene autoridad para esa zona, por lo que no responderá a la consulta (ya que no sabe acerca de ese host), pero también no envían a nadie.
Para solucionar esto, es necesario poner "www.nlscan.com" también en el interior de su zona interna; se puede señalar a su verdadera dirección IP pública si usted quiere que sus clientes acceder a ella de esa manera, o se podría usar el mismo reorientación de que está utilizando para "mail.nlscan.com" si en el "www" también está siendo enviada por el servidor de seguridad para algunos interno del servidor.
El mismo principio se aplica a cualquier nombre en la zona.

Esta instalación no tiene ningún impacto en los clientes externos, o en cualquiera de sus usuarios, la cual se encuentra temporalmente fuera de su red, debido a que los internos de la "sombra" de la zona nunca será visible desde Internet.

1voto

Daniele Dente Puntos 11

No importa el hostfile, acaba de añadir una nueva zona en el DNS mail.domain.com y agregar un host en la zona. dejar el nombre en blanco (se va a usar automáticamente el nombre de la zona) y escriba la dirección IP del servidor de correo local ;-)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: