因此,我们的云提供商之一在 VM 之间提供了一个低延迟、零评级的“内部网络”选项。内部网络上的接口位于 10.xxx IP 空间中。当我们的一台服务器查询内部网络上另一台服务器的主机名时,我们希望它解析为内部网络上的地址,而不是导致传输记帐的公共可路由地址。
我们已经实现了一个小型服务器来执行此操作,当源 IP 是 10.xxx IP 时,它将返回内部地址。
我们不想做的是让我们的内部服务器成为我们虚拟机的唯一主 DNS 服务器。我们会让它成为客户端列表中的第一个服务器,然后是一个公共 dns 服务,如 1.1.1.1。
因此,如果在内部 DNS 中查询 google.com(我们不拥有),我们应该返回给客户端的正确响应是什么?我们应该简单地忽略请求还是应该返回 NxDomain 响应?
感谢您的任何建议!
我们公司有一个脑裂 DNS 场景,我们有相同的条目指向不同的 IP。
Example1:
Internal DNS: email.company.net (A) 172.20.1.1
External DNS: email.company.net (A) 22.191.72.18
因此,电子邮件只是我们必须“拆分”的少数条目之一。我们的公共 DNS 区域中确实有很多其他 DNS 条目,它们也需要在内部区域中保持不变。让我们看另一个例子:
Example2:
Internal DNS: video.company.net (A) -not present-
External DNS: video.company.net (A) 22.191.72.49
因此,当我想从公司内部访问videoportal.company.net时,DNS 服务器报告它没有找到该查询的 DNS 条目。为了使其正常工作,我还必须在内部 DNS 区域上重新创建所有外部 DNS 条目,并随着时间的推移维护所有这些记录。这会导致大量重复工作。我想做的是:
创建一个包含一些条目的区域,并为其分配一个策略:“解决您可以在其中找到的内容,但将您找不到的任何内容转发给您的解析器/根提示”
有没有这样的事情可以用政策来完成?甚至如何调用这样的功能?
我知道我可以创建一个带有 email.company.net 的区域和一个空的 A 记录。这会在外部转发任何 somethingelse.company.net 记录。我问的原因要复杂得多,我想问一个尽可能简短的问题。所以只是假设这个解决方案现在不适用于这里。如果您能专注于上述问题,我将不胜感激。
编辑:所以最后,内部 DNS 服务器应该做这样的事情:
我最近部署了一个Azure Web App并分配了自定义域和 ssl 证书。我向外部 DNS 注册商添加了 CNAME DNS 记录,因此现在我可以通过Internet访问 Web 应用程序- webapp.company.com。我现在注意到的问题是我无法使用内部网络上的相同 URL访问 Web 应用程序。我尝试在我们的内部 DNS 记录中创建一个指向Web 应用程序公共 ip 的 A 记录,并创建一个指向默认 azure Web 应用程序 URL 的CNAME 记录,但是当连接到内部网络时我无法访问.
我可以做些什么来访问 Web 应用程序 URL,例如:webapp.company.com 从内部和外部(互联网)网络?
在我工作的 Intranet 上,我们有不公开的内部应用程序,例如:app1.example.com、app2.example.com,而 example.com 是面向公众的网站。app1.example.com 和 app2.example.com 都解析为内网的 ip。
据我搜索,我发现这可以通过将本地 DNS 服务器连接到我们的 Intranet 来实现。
因此,我想通过使用 Virtualbox VM 来复制它,所以使用了 3 个 Ubuntu 风格的 Vm 的一个 Xubuntu、一个 Lubuntu 和一个 Ubuntu Budgie Edition 剩余的来自以前的“实验”。他们都有 2 个网络适配器:
192.0.0.0/24网络的 ips。在 Xubuntu 上,我安装了 bind9 和一个网络服务器,并尝试通过输入 Xubuntu 和 Budgie Edition Vms 的浏览器 app1.intranet.example.com 和 app2.intranet.example.com 来模拟,以服务于 2 个不同的站点。这些站点在网络之外(这 3 个 Vms 的)将不可用,甚至无法解析这 2 个站点的 DNS 条目。
至于现在在运行绑定的虚拟机上(The Xubuntu One)有这些设置:
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
forwarders {
208.67.222.222;
208.67.220.220;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
acl "intranet" { 192.0.0.1/24; };
view "intranetView" {
match-clients { "intranet"; };
recursion yes;
zone "intranet.example.com" {
type master;
file "/etc/bind/db.intranet"
}
}
view "outside" {
match-clients { any; }
recursion no;
}
另外,/etc/bind/db.intranet我有以下条目:
;
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA intranet.example.com. root.example.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS 192.0.0.2
@ IN A 192.0.0.2
app1 IN A 192.0.0.2
app2 IN A 192.0.0.2
但是由于某种原因,当我尝试重新启动绑定时它失败了。你能帮我找出问题所在吗?
我有一个带有两个 DC 的小型网络,每个都有一个 DNS 服务器和一个 DHCP 服务器。两者都运行 Windows Server 2008 R2 和标准 Microsoft DNS 服务。多年来,一切都运行良好。我们公司的网站经过重写,现在托管在没有专用 IP 地址的远程位置(以前,我们的远程 Web 服务器上有专用 IP)。
当我们多年前设置内部域时,它与我们的互联网域同名。长话短说,我可以通过在 DNS 中添加 @ 和 www 记录,从域内部访问我们的新网站,如下所示。
(same as parent folder) Name Server (NS) Backupdc.mydomain.com.
(same as parent folder) Name Server (NS) dcfs.mydomain.com.
(same as parent folder) Host (A) 166.62.110.232
www Alias (CNAME) mydomain.com
这行得通,但几个小时后它会停止工作并查看 DNS 条目,我有一些新值。
(same as parent folder) Name Server (NS) Backupdc.mydomain.com.
(same as parent folder) Name Server (NS) dcfs.mydomain.com.
(same as parent folder) Host (A) 192.168.30.17
(same as parent folder) Host (A) 192.168.30.20
(same as parent folder) Host (A) 166.62.110.232
www Alias (CNAME) mydomain.com
新条目是我的两个 DNS 服务器的 IP 地址。我可以通过将动态更新更改为无来阻止这种情况的发生,但这也阻止了 DHCP 服务器添加新系统。
有什么方法可以让 DHCP 在不为 DNS 服务器添加 @ 记录的情况下向 DNS 添加新记录?
我正在研究一个简单的水平分割 DNS 实现。在几个地方将 GoDaddy 用于我的 Internet DNS 和用于 LAN DNS 的 Microtik 路由器。
在我的办公室里,我有一台服务器,在 Internet 上是hq.company.com,但在我的办公室网络上,我一直在使用不同名称的 Microtik 上的 DNS 条目hq.internal.company.com。
我对“水平分割”实现最天真的猜测是在 Microtik 路由器中创建一个与GoDaddy 条目同名hq.company.com的条目, .
但是,完成后我可以看到它并没有像我希望的那样工作。使用该命令时,两个地址都以随机顺序出现host。我也尝试过清除笔记本电脑(OSX)的本地 DNS 缓存。
$ host hq.company.com
hq.company.com has address 192.168.88.177
hq.company.com has address 150.243.157.82
$ host hq.company.com
hq.company.com has address 150.243.157.82
hq.company.com has address 192.168.88.177
$ host hq.company.com
hq.company.com has address 192.168.88.177
hq.company.com has address 150.243.157.82
我想要的行为是,当我在办公室时,本地 DNS仅提供本地地址hq.company.com,当我不在办公室时,GoDaddy DNS 提供公共 IP。
我正在使用某种 dns 代理服务(细节尚不清楚,但据我所知,它的工作原理是将域解析为基于云的代理服务器并返回它的地址,同时配置它以将我的请求转发到实际域)
我想做的是仅在必要时(即访问特定域时)使用所述 DNS,否则使用默认解析方法。
我已经阅读了 resolv.conf 手册并看到了为每个域配置名称服务器的帖子?. OP 似乎想要类似的东西。
有没有一种简单的方法可以实现这一目标?我认为拆分 DNS(从我所了解的一点点)是相当矫枉过正的(如果它是唯一的方法,我会感谢一些指导)。
操作系统是 Linux Ubuntu 12.04。
我有一个域名,由于某种原因,它指向不同的服务器,具体取决于您在世界上的位置。
奇怪的是,我有另一个域具有相同的 DNS 服务器,无论您的位置如何,它都指向同一个服务器(这是它不应该工作的方式)。
任何想法为什么第一个域指向不同的人的不同 IP 地址?
我正在设置两个 DNS 服务器。一个在防火墙/路由器上,另一个是内部服务器。我有很多设置 DNS 服务器的经验,所以这个问题特别令人困惑。
防火墙外部地址:207.62.233.2
防火墙内部地址:10.24.0.1
二级内部地址:10.24.0.21
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursion yes;
};
view "internal" {
match-clients { 10.24.0.0/16; 127.0.0.1; };
match-recursive-only yes;
allow-recursion { clients; };
allow-transfer { 10.24.0.21; };
zone "ct.sierracollege.edu" {
type master;
file "data/db.ct.int";
};
include "/etc/named.rfc1912.zones";
zone "." IN {
type hint;
file "named.ca";
};
};
view "external" {
recursion no;
match-clients { any; };
allow-transfer { any; }; // temporarily allowed for debugging purposes
zone "ct.sierracollege.edu" {
type master;
file "data/db.ct.ext";
};
};
防火墙上的拆分 DNS 效果很好。如果我从内部机器查询它,我会得到内部答案。同样,从外部机器查询它会给我外部答案。这是一个内部查询。
# dig @10.24.0.1 ct1.ct.sierracollege.edu
; <<>> DiG 9.5.1-P2 <<>> @10.24.0.1 ct1.ct.sierracollege.edu
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51024
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;ct1.ct.sierracollege.edu. IN A
;; ANSWER SECTION:
ct1.ct.sierracollege.edu. 3600 IN A 10.24.0.11
;; AUTHORITY SECTION:
ct.sierracollege.edu. 3600 IN NS cs.sierracollege.edu.
ct.sierracollege.edu. 3600 IN NS fw.ct.sierracollege.edu.
;; ADDITIONAL SECTION:
cs.sierracollege.edu. 3600 IN A 10.24.0.21
fw.ct.sierracollege.edu. 3600 IN A 10.24.0.1
;; Query time: 1 msec
;; SERVER: 10.24.0.1#53(10.24.0.1)
;; WHEN: Wed Jan 6 12:57:02 2010
;; MSG SIZE rcvd: 124
区域传输无法正常工作。它不是转移内部区域,而是转移外部区域。这是一个示例,由与上述相同的内部机器完成:
# dig @10.24.0.1 ct.sierracollege.edu axfr
; <<>> DiG 9.5.1-P2 <<>> @10.24.0.1 ct.sierracollege.edu axfr
; (1 server found)
;; global options: printcmd
ct.sierracollege.edu. 3600 IN SOA ct.sierracollege.edu. root.ct.sierracollege.edu. 3 3600 1800 604800 3600
ct.sierracollege.edu. 3600 IN NS fw.ct.sierracollege.edu.
ct1.ct.sierracollege.edu. 3600 IN A 207.62.233.11
ct2.ct.sierracollege.edu. 3600 IN A 207.62.233.12
ct3.ct.sierracollege.edu. 3600 IN A 207.62.233.13
fw.ct.sierracollege.edu. 3600 IN A 207.62.233.2
ct.sierracollege.edu. 3600 IN SOA ct.sierracollege.edu. root.ct.sierracollege.edu. 3 3600 1800 604800 3600
;; Query time: 2 msec
;; SERVER: 10.24.0.1#53(10.24.0.1)
;; WHEN: Wed Jan 6 13:01:37 2010
;; XFR size: 7 records (messages 1, bytes 208)
/var/log/messages 文件中的条目显示外部视图正在被命中:
Jan 6 13:01:37 fw named[17572]: client 10.24.0.21#42362: view external: transfer of 'ct.sierracollege.edu/IN': AXFR started
Jan 6 13:01:37 fw named[17572]: client 10.24.0.21#42362: view external: transfer of 'ct.sierracollege.edu/IN': AXFR ended
因此,我的slaves目录充满了外部区域文件,而不是内部文件。
有任何想法吗?