22. februar 2009 - 01:54Der er
12 kommentarer og 1 løsning
DNS og Routning and Remote Access
For ganske mange år siden satte jeg en W2K server op og den kørte så fint indtil her forleden hvor SW fik en skade og jeg måtte ominstallerer den fra scratch. Der var ingen brugbar backup - hån mig ikke for det, det har andre allerede gjort rigeligt!
Jeg må også erkende at mine notater fra den første opsætning er mangelfulde (læs: væk) og jeg har lidt problemer med at få internet adgangen fra klienterne til at køre stabilt. Ind i mellem kommer IE med "Siden kan ikke vises" Når det sker kan jeg ikke pinge et eksternt domænenavn, men pinger fint en ekstern IP. Internetadgangen fra serveren er der aldrig problemer med.
Mit setup er følgende: WAN -> firewall -> server -> 2 x LAN
Altså der er 3 netkort i serveren. WANIF0 192.168.20.2 LANIF0 192.168.30.1 LANIF1 192.168.40.1 Alle med 24 bit submask IP'erne i FW og server er statiske, klienterne får deres IP fra serverens DHCP addresspools.
DNS er installeret sammen med AD, lytter på alle IP'er og der er ikke pillet yderliger ved den.
Der hvor min tvivl komme ind er: Virker min DNS som den skal? Hvordan tester jeg det?
Hvilke routningsprotekoller skal jeg bruge ud over NAT, hvis jeg ønsker at de 2 LAN godt må tale sammen? Hvilke IF skal oprettes under hvilke protokoller?
Hvilke IP'er skal servernetkortne have som GW? I hvilken rækkefølge skal DNS IP'erne angives? Skal serverens egne DNS-IP'er angives?
Hvilke IP skal klinterne have fra DHCP som GW og DNS (incl. rækkefølgen)
du kan teste dns vha. nslookup. Gør det fra alle netværk og fra serveren selv for at få et overblik. Tjek evt. også din eventlog på serveren. Der er også en testknap i dns mmc'en under egenskaber for serveren --> fanebladet monitoring.
Mht. routningsprotokol: Du skal bare tillade routning mellem de 2 netværk. Jeg har ingen RRAS så mere specifik kan jeg ikke være. Bare hold NAT udenfor i hvert fald.
Kun WANIF0 skal have en gateway
Rækkefølge af dns ip'er afhænger ene og alene af hvilken du vil have som primære dns. Det bør jo være serveren for dine interne klienter, hvis den er dns server.
GW til klienter er IP'erne på serverens netkort. En PC på LANIF0 netværket, skal have 30.1 som gw. En PC på LANIF1 skal have 40.1 som gateway. Samme mht. primær DNS. Du kan så evt. tilføje en ekstern DNS server som sekundær (eller en anden intern dns server hvis du har sådan en)
Jeg vil nu anbefale dig at få en router til routningsarbejde istedet for en server, men det er selvfølgelig op til dig.
Både simpel og rekursiv test af min DNS giver "passed" som resultat.
Jeg er ikke bekent med hvordan man bruger nslookup... hvad skal jeg skrive og hvilke resultater skal jeg forvente?
Hvis jeg sletter NAT fra Routing og remote access er der ingen fremkommelighed til internettet fra klienterne. (Remote access delen bruger jeg ikke, men vil gerne route mellem de interne LAN)
Sætter jeg min DNS-server først i DNS rækkefølgen i DHCP scoopet til klienterne, får de ikke fremkommelighed til internettet. Det lader til at DNS'en ikke har nogle mappings fra WAN-siden
Både NAT og DNS-rækkefølgen er testet hver for sig, men med samme negative resultat.
GW er slettet fra LANIF0 og 1. Klient GW peger på "eget IF" i serveren. Ditte havde ingen synlig effekt. Og dog, måske er internet adgangen mere stabil.
Årsagen til at serveren ikke havde problemer med at komme på internettet, er sansynligvis at WANIF0 havde ekstern DNS som primær. Sætter jeg den til interne DNS som primær, har serveren heller ikke fremkommelighed på internettet.
Jeg kan udlede at hvis jeg blot bruger eksterne DNS og NAT, så virker det, men det er vel ikke den rigtige måde at gøre det på.
INFO: Serveren er root i en forrest bestående af en server, med tilhørende klienter. Der er kun en server på dom. ISP er ADSL fra Cybercity
P.t. bruger jeg cybercity's 212.242.40.3 som primær DNS, fordi det virker... noglelunde - jeg oplever at jeg af og til kommer lettere igennem med at skrive min servers IP frem for dens navn. ---------------------------- Nslookup <mit domæne> giver: Server: dns1.cybercity.dk Address: 212.242.40.3
Name: <CC's switch port>.adsl.cybercity.dk Address: <min eksterne IP> ----------------------------
Noget tyder på at der er et par ting i min DNS som ikke virker som det skal, men DNS servicen kører (både som server og klient på serveren), og den lytter på alle 3 interface
Hvis jeg afinstallerer NAT som routningsprotokol forsvinder klienternes internetadgang. Øvrige installerede protekoller er: RIP, IGMP, OSPF.
I DNS-eventloggen er følgende advarsel: The DNS server is logging numerous run-time events. For information about these events, see previous DNS Server event log entries. To prevent the DNS Server from clogging server logs, further logging of this event and other events with higher Event IDs will now be suppressed.
Synderen til ovenstående er følgende servicemeddelse: DNS Server has updated its own host (A) records. In order to insure that its DS-integrated peer DNS servers are able to replicate with it, they have been updated with the new records through dynamic update.
Hvis det ikke har været helt klart fra starten... så har serverens WANIF0 ikke min offentlige IP-adresse, den ligger på ADSL-routeren.
Mens jeg så sidder og skriver dette, kikkede jeg lidt i ADSL-routeren, og der var noget Rip som var slået fra... RIP Direction, RIP Version og Multicast var alle deaktiverede... men en aktivering af disse løste ingen problemer.
Kan der ligge en spæring i FireWallen? Er der nogle porte som skal være åbne for at få DNS til at opdatere/virke?
for at teste serveren dns server funktionalitet, er det den du skal bruge istedet for cybercitys.
RIP er en routningsprotokol for automatisk udvekslingaf routes. Din routning virker, så det er ikke her problemet ligger.
Det er formentlig ikke et firewall issue da dine klienter kan snakke dns med cc's server. Så skulle det da være fordi du KUN har blokeret for serveren. Det er nok ikke tilfældet.
Så... sæt serverens IP som dns server og lav så nslookup fra klienter på begge netværk og serveren selv.
Vedr. firewall, så har jeg kun åbnet de indadgående porte som jeg ved der kan komme uopfordret trafik på, det er 20, 21, 25, 80 og et par stykker mere, som bruges til et par special programmer som jeg har kørende. Derfor faldt min mistanke på FW. (Som er en lille Linux box, uden realtime konfigurerings mulighed).
Klienternes scope er nu sat til at give intern servers DNS som primær. Dvs. at 30.0 maskiner får 192.168.30.1 og 40.0 maskiner får 192.168.40.1 (maskiner på 40.0 køre Win98, og der er ingen nslookup. Klienterne har nu ingen adgang til internettet.
Lad mig lige høre en gang til... skal primær DNS på både WAN og LANIF'erne i deres statiske konfiguration på serveren pege på egen IP? I så fald giver nslookup fra serveren: (og der er ingen fremkommelighed fra serveren til internettet)
--------------------------------------- nslookup <mit domæne> *** Can't find server name for address 192.168.40.1: Non-existent domain Server: dns1.cybercity.dk Address: 212.242.40.3
Non-authoritative answer: Name: <mit domæne>.<mit domæne> Address: <min eksterne IP> --------------------------------------- nslookup <min eksterne IP> *** Can't find server name for address 192.168.40.1: Non-existent domain Server: dns1.cybercity.dk Address: 212.242.40.3
Name: <CC's switch port>.adsl.cybercity.dk Address: <min eksterne IP> --------------------------------------- nslookup 192.168.40.1 *** Can't find server name for address 192.168.40.1: Non-existent domain Server: dns1.cybercity.dk Address: 212.242.40.3
*** dns1.cybercity.dk can't find 192.168.40.1: Non-existent domain --------------------------------------- nslookup 192.168.30.1 *** Can't find server name for address 192.168.40.1: Non-existent domain Server: dns1.cybercity.dk Address: 212.242.40.3
*** dns1.cybercity.dk can't find 192.168.30.1: Non-existent domain --------------------------------------- nslookup 192.168.20.2 *** Can't find server name for address 192.168.40.1: Non-existent domain Server: dns1.cybercity.dk Address: 212.242.40.3
Det ser fornuftigt ud nu, men vender tilbage til tråden, såfremt der stadig skulle være nogle DNS-problemer. Efter "diktat" fra riversen, tager jeg selv point.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.