我正在使用绑定9.9.2作为DNSSECvalidationInternet DMZ中的recursionparsing器。 我想指向我的内部DNS服务器作为存根区域(理想情况下)或除了从属区域以外的任何东西(以避免非常大的区域传输)。 我们使用可路由的IP空间来进行内部寻址。 对不起,如果我在我的例子中使用你自己的IP空间,但是167.xxx是我发现的适合我的问题的第一个区域。 例如 dnssec-enable yes; dnssec-validation yes; dnssec-accept-expired no; zone "16.172.in-addr.arpa" { type stub; masters { 167.255.1.53; } } zone "myzone.com" in { type stub; masters { 167.255.1.53; } } 当查询命中DNS服务器,他们试图validation,并失败,因为167.in-addr.arpa有一个RRSIGlogging,但子区不(不应该!)。 在这个例子中使用Google dns,但实际上它是我的recursionparsing器。 @8.8.8.8 -x 167.255.1.53 +dnssec ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, […]
我一直在为这个问题挣扎好几天,希望有人能帮忙。 当Windows 7客户端从睡眠状态(S3或S4)回来时,DNSlogging会在我们的广告集成DNS服务器中随机删除, dnslogging中大约有4次似乎被删除然后重新创build 大约有十分之一的dnslogging是墓碑式的(因此不再可以解决) Dns服务器是具有2003function级别的2008R2 DC,禁用了dns清除,客户端具有静态ip。 我们没有WinXP客户端的这个问题。 我在dns服务器上的MicrosoftDns树上设置了审计规则,这里是事件4662,我在这两种情况下都得到了第一: 通过客户计算机帐户写入资产 An operation was performed on an object Security ID: MYDOMAIN\AWIN7PC$ Account Name: AWIN7PC$ Account Domain: MYDOMAIN Logon ID: 0xee200a93 Object Server: DS Object Type: dnsNode Object Name: DC=AWIN7PC\0ADEL:acb4b3a9-86db-46e0-9947-a685df55d575,CN=Deleted Objects,DC=mydomain,DC=com Operation Type: Object Access Accesses: Write Property / Access Mask: 0x20 Properties: Write Property {771727b1-31b8-4cdf-ae62-4fe39fadf89e}{e0fa1e69-9b45-11d0-afdd-00c04fd930c9} {d5eb2eb7-be4e-463b-a214-634a44d7392e}{e0fa1e8c-9b45-11d0-afdd-00c04fd930c9}` […]
在我们的一个从属DNS服务器BIND中,版本为bind910-9.10.0P2_3,在/var/log/messages不断被下面的消息所杀: Jul 30 01:00:10 cinnabar kernel: pid 602 (named), uid 53, was killed: out of swap space 该服务在XenServer 6.2的FreeBSD 10.0 VM上运行,具有512MB的系统内存。 此时pstat -m -s返回: Device 1M-blocks Used Avail Capacity /dev/ada0p3 512 9 502 2% 我不认为这是一个交换问题,这似乎是内存泄漏,但我不确定。 编辑:访问信息。 这是两个从属DNS服务器之一,它们只存储来自权威服务器的区域,并作为内部用户对外的recursion服务器。 客户端数量在700-1500个并发用户之间。 由于我们有一个/ 21的内部空间和一个/ 23的公共IPv4空间,并且没有来自外界的查询,所以端口53甚至在防火墙上被这些机器阻塞。
我相当肯定我发现了一个错误,但是我正在试着理解它,也许会得到一个理智的检查。 脚本 一个策略, 如果请求正在查找特定的loggingAND并且客户端IP不在特定的子网中,则策略匹配并生成一个CNAMElogging,其目标不在策略中,并且不在策略中 。 例: Zone = example.com example.comlogging默认范围: testme IN A 10.1.2.3 testOther IN A 10.11.11.11 区域范围= TesterScope logging在TesterScope : testme IN CNAME testOther.example.com. 客户端子网MySubnet包含10.8.8.0/24 带EQ的客户端子网QRP 使用以下configuration查询parsing策略MyQRP : 条件= And 内容= TesterScope 标准: FQDN = EQ,testme.example.com. ClientSubnet = EQ,MySubnet 这会产生预期的结果,即: 如果来自testme.example.com中的IP的MySubnet ( 应该匹配 ),即使必须在默认范围内parsingCNAME ,它也会正确地返回(并parsing) CNAMElogging(QRP专门只应该当FQDN是testme.example.com不匹配testOther.example.com )。 所以结果是10.11.11.11 ,这是正确的 。 如果来自testme.example.com之外的IP的MySubnet ( 不应该匹配 […]
我们正在推出IPv6,并且正在考虑我们的DNS策略。 这不是一个技术问题 – 这更像是一个“最佳实践”的问题。 我们内部有Active Directory,域控制器处理我们的“内部”区域的权威DNS(例如, domain.local , 16.172.in-addr.arpa )以及所有用户的recursion。 我们有大约1200个用户,因此这5个域控制器可以轻松处理DNSrecursion,只需转发到思科Umbrella DNS即可查看他们不具有权威性的区域。 我们严重依赖于dynamicDNS,对于内部主机的A和PTRlogging。 对于我们的公共区域,我们使用DNS Made Easy 。 现在我们正在研究IPv6,我们希望在内部保持使用dynamicDNS的能力,无论是AAAA还是PTRlogging。 由于在IPv6中不需要NAT,所以给定的主机将在内部具有与在外部相同的地址。 为ip6.arpa区域(内部和外部区域)维护两个单独的数据库还应该做什么? 另一种方法是在我的防火墙中添加一条规则,允许公共DNS服务器成为ip6.arpa区域的辅助服务器。 我并不是在谈论允许互联网直接查询我的数据中心,而是让DNS Made Easy转移代理保留一份副本。 这样做“放弃”我所有的内部DNS条目,但这真的太可怕了吗? 当我input这个内容时,我认为最好是维护两个数据库 – 一个内部数据库和一个外部数据库,就像我以前一直所做的那样。 社区有什么想法?
我需要解决Windows 2008域控制器上的一些DNS问题,但是我发现NETDIAG不再提供或支持。 我可以从Server 2003 DC复制它,但它看起来像输出不可靠。 我在网上看到的任何地方,人们很快就会说“这不再被支持”,而不能替代function。 因为我不能使用NETDIAG,我可以使用什么来执行相同types的DNS /networking诊断?
在阅读了关于DNS负载平衡和循环DNS的所有问题和解答( 1 2 3等)之后,仍然有许多未解答的问题。 大公司,我正在看Google,Facebook和Twitter这里,做了多个Alogging。 1)如果DNS负载平衡/故障转移是如此的狡猾,为什么大型组织做到这一点? 尽pipe有这个 (PDF)文件,但似乎很less提及“DNS固定”。 2)为什么很less提到DNS钉住? 3)有哪些ISP等实际重写DNS TTL的具体例子? 也就是说,我并不完全支持使用DNS进行故障转移或任何forms的负载平衡。 对于大多数networking来说,BGP不同的路由似乎更适合。 DNS再次提高了丑陋的头脑。 🙁
我在stackoverflow问这个问题,但得到了很less的意见: https : //stackoverflow.com/questions/2284917/route-web-requests-to-different-servers-based-on-subdomain 也许这更适合这个人群。 这里又是为了方便: 我有一个平台,用户可以使用子域创build一个新的网站。 将有成千上万的这些,例如abc.mydomain.com,def.mydomain.com。 希望如果我们成功了几十万。 我需要能够将这些域路由到不同的IP来指向特定的应用服务器。 我现在在数据库中有这个映射。 这里有哪些最佳实践和推荐技术? 我看到一些选项: 使用通配符CNAME条目进行DNS设置,以便所有请求都转到单个IP,其中可能有两台使用检测信号(用于故障转移)的计算机知道如何在数据库中查找IP,然后执行httpredirect到相应的应用程序服务器。 这对我来说似乎笨重和缓慢。 运行我自己的DNS服务器,可以通过编程方式进行pipe理,以便在创build新站点时添加DNS条目。 我们还将网站移动到不同的应用程序服务器,所以我需要能够近乎实时地更新DNS条目。 思考任何人? 谢谢。 Update2 :我已经设置了外部通配符DNS指向一个HAProxy Web服务器,它的任务是将请求路由到后端服务器。 映射存储在我们的内部PowerDNS服务器。 现在的问题是如何让HAProxy服务器(或其他)使用内部DNS的值,而不是一些configuration文件或访问列表? – 更新:根据下面的一些build议,似乎反向代理服务器(S)是要走的路。 由于我将重新平衡域 – >服务器映射,因此需要立即运行,而DNS解决scheme上的TTL可能会成为问题。 任何关于使用软件的build议,考虑这个域 – > IP数据存储在一个数据库,我需要这是性能?
如何重新映射一个主机名到另一个主机名,类似于将主机名重新映射到/etc/hosts的IP的方式? 例如,我怎么能在我的本地机器上映射oneheckofalongdomainname.com到a.com ? 在/etc/hosts添加一个条目将不起作用,因为它将主机名映射到IP地址 ,而我需要将一个主机名映射到另一个。 我也无法使用目标域的IP,因为它可能会改变。
在使用ADSIEdit查看AD分区时,我看到Domain分区和DomainDnsZones分区都有一个DC = RootDNSServers容器,它们都包含代表根提示服务器的dnsNode类的对象。 我有两个问题: 为什么根提示被存储在AD中? 我总是明白,他们是从“C:\ Windows \ System32 \ dns \ cache.dns”文件中加载的。 为什么他们存储在域和DomainDnsZones分区?