有一个设置有2个Active Directory在不同的域。要configuration单个DNS服务器来服务两个域。我已经configuration了DNS服务器的Windows 2008和DNS服务器上为每个域创build2个转发区。 问题是,每当我从客户端configuration为第二域nslookup,查找指向第一个服务器。请让我知道需要什么样的configuration来实现上述情况,当我从第一个域的nslookup客户端应该得到解决从第一个区从第二区第二。 提前致谢…
我们有两台configurationHSRP的Cisco 2811路由器,用一些vlan来保护networking。 我们有隐藏在那里的contoso.com区域的第二个公共DNS,以及邮件服务器mail1.contoso.com在其专用的公共IP地址之外的NAT。 我们遇到了从该邮件服务器公共地址的路由器后面的任何networking启动的DNS请求返回一个NATed私有IP地址。 我们设法收集来自双方的数据包,有效地发现2811确实改变了从外部到内部的数据包中的IP地址,其中内部全局IP地址用于本地IP地址内部。 这可能是正常的,但是这个过程会干扰受保护的辅助DNS服务器的DNS区域传输,导致它接收NATed地址而不是公共地址,然后将专用地址服务到Internet而不是服务于公共IP地址。 我们没有find确切的命令来禁用DNS重写,这里列出的思科 – NAT导致nslookup返回本地IP不被接受。 我们应该如何至less避免思科干扰DNS区域传输? 充其量我们想要完全禁用这个DNS重写。 NAT完成如下: ip nat inside source static tcp 10.xx9 53 217.xxx 53 route-map RM-NAT-ISP extendable ip nat inside source static udp 10.xx9 53 217.xxx 53 route-map RM-NAT-ISP extendable ip nat inside source static 10.xx31 217.xxy route-map RM-NAT-VNETWORK01-EXCHANGE DNS是通过单个端口进行NAT转换的,由于configuration中存在VPN,因此遭受DNS重写的服务器与路由映射静态NAT。 有一份文件指出,思科路由器不应该使用路由映射对DNS进行静态NAT重写,并且不应该干扰DNS区域传输 – 但我们观察到相反的情况。 IOS版本信息: R1#sh ver Cisco […]
我有一个networking分为4个部分:外部DMZ,内部DMZ,用户空间和群集。 我还有4个防火墙:Internet和外部DMZ之间的边界路由器,外部DMZ和集群之间的集群前端,外部和内部DMZ之间的主要防火墙以及内部DMZ和内部DMZ之间的内部防火墙用户空间。 外部DMZ中有一个外部DNS服务器,内部DMZ中有一个内部DNS服务器。 我的目标是使用iptables规则来允许或阻止特定的查询。 我想要从外部DNS服务器处理来自Internet的查询,但只允许parsing外部DMZ的名称。 换句话说,我想阻止这些查询到达内部DNS服务器。 但是,我想允许来自群集的所有查询(由外部DNS服务器处理)以及来自用户空间的所有查询(由内部DNS服务器处理)。 例如,我在内部DMZ中有一个Web服务器。 我希望群集能够访问它(这意味着内部DNS服务器将不得不回答来自群集的请求),但是我想阻止它从Internet访问(或者更确切地说,隐藏它?)。 由于来自Internet的查询被定向到外部DNS服务器,我想阻止这些查询通过主防火墙。 只有iptables规则可能吗? 我遇到了麻烦,只允许集群查询到达内部DNS服务器。 这是我目前使用的(对于每个防火墙,eth0面向互联网,而eth1面向另一端,“向内”)。 在边界路由器上: iptables -t nat -A PREROUTING -i eth0 -p udp –dport 53 -j DNAT –to $extdns iptables -A FORWARD -p udp -d $extdns –dport 53 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p udp -s $extdns –sport 53 -m state […]
我试图在Windows 7上运行MaraDNS 2.0.13作为局域网上的权威DNS。 使用maradns -f mararc命令运行maradns.exe时出现以下错误: 致命错误:在MaraDNS 2中没有recursion; 使用朽木ConEmuC:根过程不到10秒,ExitCode = 3。 我已经作为recursionDNS运行戴德伍德,它似乎正常工作。 为什么NaraDNS崩溃? 我可以告诉我,我实际上使用戴德伍德? 这是我的mararc文件。 ipv4_bind_addresses = "127.0.0.1, XXX.XXX.XXX.XXX" timestamp_type = 2 random_seed_file = "secret.txt" recursive_acl = "192.168.1.0/24" csv2 = {} csv2["local.tld."] = "db.local.tld"
我有一个DNS和活动目录服务器后面的NAT(我必须)。 在DNS服务器上,AD会自动为私有IP地址添加NSlogging。 如何设置一个策略来响应特定子网的本地NSlogging? abc.com 10.0.0.2 private 1.1.1.2 public 当我查询名称服务器时,它返回两个NSlogging。 我需要这样的政策; When query comes from 10.0.0.0/8 it should return 10.0.0.2 NS record When query comes from any other ip it should retun 1.1.1.2 NS record
我在非域(工作组)angular色中运行Windows 2008r2服务器。 它是局域网的DNS服务器和DHCP服务器。 DNS服务适用于外部Internet地址,但本地主机名不能parsing。 c:\>ping raspberrypi1.local Ping request could not find host raspberrypi1.local. Please check the name and try again. c:\batch>ping raspberrypi1 Ping request could not find host raspberrypi1. Please check the name and try again. c:\batch>ping 192.168.1.169 Pinging 192.168.1.169 with 32 bytes of data: Reply from 192.168.1.169: bytes=32 time<1ms TTL=64 Reply from 192.168.1.169: bytes=32 […]
我正在使用Windows DNS服务器的DNS策略 。 在我的情况下,我想允许recursion查询在本地子网(192.168.1.0/24)和拒绝其他人。 它直到从本地子网查询一个域(example.com)为止效果很好。 从本地解决后,开始解决所有ips。 我认为它看起来先caching,并立即回答,不看政策。 如何拒绝外部ipscaching中的recursion查询? 这是我的政策细节。 Add-DnsServerClientSubnet -Name ServersSubnet -IPv4Subnet 192.168.1.0/24 Add-DnsServerClientSubnet -Name LoopBackSubnet -IPv4Subnet 127.0.0.0/8 -IPv6Subnet ::1/128 Set-DnsServerRecursionScope -Name . -EnableRecursion $False Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True -Forwarder 208.26.222.222, 208.67.220.220 Add-DnsServerQueryResolutionPolicy -Name "SplitBrainRecursionPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ClientSubnet "eq,ServersSubnet,LoopBackSubnet"
我正在寻找一些“代理”,这将允许我隐藏在我的IPv6networking中的DNS服务器。 我想将传入的请求redirect到边界路由器的一个vlan接口到基于源接口的特定DNS服务器(请参见图)。 我的想法是使用一个IPv6地址来: 请求从本地networking到recursionDNS, 外部networking(互联网)授权DNS。 我使用iptables与snat / dnat与IPv4,但根据手册,它是不可能使用类似configurationip6tables。
一个客户有他们的新网站托pipe在我们的服务器上,但是新的网站名称与他们的域名不同,因为我们在一个子域上持有开发的网站。 他们希望从我们的主机加载新的网站,而不会影响他们现有的电子邮件设置。 我知道这应该通过指向他们的领域Alogging给我们,但是这是我开始有点模糊。 我发现,由于该网站是在我们的帐户不同的名称,Alogging不会拿起这个网站。 为了解决这个问题,我运行了一个查找和replace来匹配网站名称,但是这个问题仍然没有解决,所以我也为子域创build了一个别名作为实际的域名。 这似乎工作,但我很好奇,如果有这样一个更好的方式来迁移一个网站? 有什么build议么?
什么是{any}-the-sub.example.com的正确的DNSlogging? 避免CNAME *.example.com 对于扩展的子域{any}.the-sub.example.com ,这将是类似于: the-sub.example.com A 0.0.0.0 *.the-sub.example.com CNAME the-sub.example.com 但是,当使用连字符{any}-the-sub.example.com时,这也不适用。 也不是*-the-sub.example.com或*the-sub.example.com正常工作?