14. juli 2004 - 14:45Der er
57 kommentarer og 1 løsning
Kan ikke tilgå servere inde fra huset?
Hej.
Jeg har et problem. Jeg har været ved at flytte lidt rundt på ting, og vi skal have vores webserver ind i huset.
Og det virker for så vidt fint, hvis man er resten af verden. Men når jeg sidder på vores interne net, og prøver at kontakte webserveren - så kan det ikke lade sig gøre? Er der nogen der har en ide til hvad det kan skyldes.
Ip-adressen som dns leder videre til, er vores firewall, som så sender http videre til den rette maskine. Dvs. når jeg sidder internt, spørger jeg egentlig til "ydersiden" af vores firewall.. kan det være et problem?
ok.. prøver lige begge.. i den rækkefølge de er kommet.. :-)
Jeg har siddet og prøvet at se lidt på den trafik der kører på netværket.. Og umiddelbart får jeg de rigtige svar fra dns-serverne. Så sålangt så godt. Men det er ligesom om der kommer noget rod i det, når jeg internt fra prøver at spørge på firewallens eksterne ip. Så det kan godt være loopback - eller intern dns opslag på lokal ip er vejen frem. :-)
Du kan sætte forward på, altså så du kun angiver dine lokale dns-records - og hvis der ikke findes en lokal dns, skal den kigge dine forwards igennem (din udbyders dns) - så hvis du laver en zone som hedder test.dk, vil din dns resolve web.test.dk, mens hvis du prøver at gå ind på exp.dk, vil den resolve dette via din udbyders dns
ncp -> det gør det ikke i dette tilfælde.. Hvis jeg opretter en zone say test.dk og angiver www.test.dk derinde, så kan jeg ikke finde wap.test.dk, da den ikke er angivet i zonen. Og dns serveren "kender" zonen, og vil derfor ikke spørge andre.
Har prøvet løsningen med dns - det virker kun på den interne dns server. Hvis jeg spørger fra min workstation får jeg dns svar tilbage der hedder "a server ekstern ip" stadigvæk, da min eksterne dns kan resolve det hele.. :-(
Men prøver med hosts filen nu. Ved i om den kan distribueres rundt af AD?
Vi har mange domæner, dvs. det er ikke en mulighed at lave alle opsætninger både internt og eksternt.
Hvordan kan jeg få min interne navneserver til, når den spørger efter www.test.dk kun at få fat i "cname" record for denne. Dvs. istedet for at få svar: a webserver.domain.dk xxx.xxx.xxx.xxx
så skal den bare svare:
a webserver.domain.dk
Herefter skal min interne server så selv finde ud af at den godt kender dette domæne navn...
Det første internet explorer (windows) (ved ikke om man kan gøre det samme på linux) spørger, er din hosts fil derefter din dns. osv.
så vis du skrive http://domain1.dk så "sender" din hosts fil dig til din server (i overstående tilfælde 192.168.0.10 (du vil stadig se det som domain1.dk)
Jeg bruger også denne metode til når jeg skal have fat på mine AP (access points)
f.eks 192.168.0.100 ap-basement
vis jeg skriver http://ap-basement i internet explorer kommer min config wizard på mit access point i kælderen frem (lettere ind at skulle skrive ip adresse :) )
problemet er at jeg har 30+ domæner, som andre i huset også skal kunne komme på.
Og det er ikke særligt fleksibelt at skulle vedligeholde det ved at rende rundt og ændre alle hosts filer. Det er lidt det...
Det kan da heller ikke passe det er den eneste løsning, at man skal lave dobbelt dns opsætninger (hvilket det med hosts filen jo reelt også er) for at det kan lade sig gøre.
Vil sige at jeg nu har fået et domæne til at virke. Men det kræver jo at jeg skal oprette alle domæner engang på min primære eksterne dns - derefter på den sekundære (en del hurtigere, men skal stadigvæk gøres), så på min interne dns, og på min sek. interne.
Men hvis det kun kan lade sig gøre sådan er der jo ikke noget at gøre ved det.. :-(
Dvs. at den langt billigste / nemmeste løsning er at få fat i en firewall mere, og ligge webserveren på en anden ipadresse, og derved undgå loopback fra det interne net? Så er det kun fra webserveren selv man ikke kan tilgå via navnene...
ved du om man kan distribuere hosts filen rundt via Active Directory?
Så er jeg nok tæt på at give dig ret... Så skal den bare vedligeholdes et sted, og så er det bare alle de interne sites der skal skrives deri... En ikke helt ligefrem opgave, men det er da lade-sig-gørligt.. :-)
vis du ikke gider selv lave hosts filen, kan du sende mig en mail med domain navne og den ip din server har intern. så skal jeg da lige hurtig lave den til dig.
ja... det slog også mig... Vi har en bat fil der kører ved login... er det bare at lave en copy linie deri? Det er ikke noget problem at lave host filen... men ellers tak.. Har lavet den på min egen, og det virker fint. Skal bare huske at opdatere den hele tiden så... men det kommer jo helt af sig selv hvis et site ikke virker.. hehe... :-)
jeg synes ikke den kopierer noget... :-( Man behøves da ikke genstarte serveren for at den begynder at overføre den nye fil gør man? Har bare tilføjet det ovenstående til vores login.bat, som står i de forskellige profiler til at blive kørt ved logon.
hehe... ja.. det havde jeg nu gjort... tror det er noget med rettigheder... Mine klienter herinde har formentlig ikke rettigheder til at overskrive den selv..
Det virker på min maskine.. Men jeg er jo også admin.. ;-)
Hvis nu jeg skriver en kommando som runas admin osv.. copy..
ville almindelige bruger med lidt snilde så ikke nemt kunne læse kodeord? Hvad er fremgangsmåden ellers? Hvordan gør du?
problemet med runas er at så skal admin koden vel stå i scriptet... Og alle kan læse scriptet.. og så har vi balladen.. så det tror jeg vi er væk fra igen.
Ja, til lokal admins.. Det er åbenbart den eneste mulighed... Kan man gøre det fra AD.. hehe.. Vil helst undgå at skulle rundt til alle maskinerne og gøre det.. Men igen, det kan blive nødvendigt..
den skriver adgang nægtet... da klienterne er danske.. hehe.. Kan jeg give dem lokal admin rettigheder i scriptet så? Jeg tænker at hele windows mappen er skrivebeskyttet, kun adgang for lokal admin...
oki... glæder mig til at jeg får det til at virke... hader når noget skal være færdigt... Og virke fordi man flyver på ferie fra weekenden af... :-( eller :-)
men... brugeren har ikke rettigheder til selv at bruge denne.. :-) Så skal man være administrator... hehe... Løsningen bliver vist bare at jeg render rundt og logger ind på alle maskiner, og gør alle til lokale admins på den maskine de sidder ved... Det må være løsningen.. Med mindre du kan komme i tanker om andre smutveje... :-)
vis du bruger domain users, så får man lidt af en sikkerheds risiko, da alle brugere vil blive local admins på alle klient maskiner, hvilket gør f.eks at bruger A kan gå ind på Bruger B maskine og slette filer uden at bruger B ved det, bare ved at gøre følgende \\brugerbscomputer\c$ og så slet f.eks windows bib.
ja... det kom jeg også til at tænke på... Er nok bedre at gå rundt manuelt.. Men det går nok også...
Mange tak for hjælpen... Smid et svar, og hvis så hamderpolle og ncp også vil have lidt kan de godt få det.. Men der ryger mest til zintazu.. :-) lap-> det har vi lige brugt en del tid på at snakke om, så der falder desværre ikke noget af til dig.. ;-)
Kanon hjælp og tak for udholdenheden.. Nu begynder det så småt at skride frem ad.. :-)
jeg forstår ikke rigtigt hvad fidusen er med denne runas bagfra fætter...
Kræver det ikke stadig at jeg opbevarer password i tekst, eller en fil, som er ligeså let læselig som hvis det var i en bat fil det hele.. Og det er jo det der er problemet.. Jeg kan (læs vil) ikke have hverken lokal eller domæne password til at ligge i klartekst.. :-)
takker endnu en gang for hjælpen.. .Jeg tror næsten jeg når i mål inden weekenden... Selv om jeg har måttet reinstallare dns serveren.. :-(
Den var helt til rotterne... Men muchos gracias señors...
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.