Forwarding на маршрутизатор и др.

[A00001]

Есть два сервера: контроллер домена и маршрутизатор с RRAS NAT (оба Windows 2003). Для всех клиентов DNS-сервер - контроллер домена.
В такой ситуации для правильнго разрешения внешних имён рекомендуют включить на DC forwarding на DNS-сервера провайдера.
Адреса внешних DNS и адрес внешнего интерфейса динамические.
Маршрутизатор не включён в домен. Вообще настраивалось всё под Traffic Inspector.

ВОПРОС1: Если я не знаю или не хочу знать IP для DNS-провайдера, можно ли сделать forwarding на маршрутизатор, включив DNS службы NAT? Т. е. обойтись без явного указания IP внешних DNS-серверов - подобная схема используется с Kerio Winroute Firewall, только там NAT свой, а не от Windows.

ВОПРОС2: Как всё-таки должен быть настроен внутренний интерфейс маршрутизатора? Поле DNS оставлять пустыми, указывать в качестве DNS контроллер домена или на себя?
Поле шлюз оставлять пустым или на себя?

 

[link71]

ответ на 2 вопрос: DNS и gateway пустые.

 

[waldo]

Есть два сервера: контроллер домена и маршрутизатор с RRAS NAT (оба Windows 2003). Для всех клиентов DNS-сервер - контроллер домена.
В такой ситуации для правильнго разрешения внешних имён рекомендуют включить на DC forwarding на DNS-сервера провайдера.
Адреса внешних DNS и адрес внешнего интерфейса динамические.
Маршрутизатор не включён в домен. Вообще настраивалось всё под Traffic Inspector.

ВОПРОС1: Если я не знаю или не хочу знать IP для DNS-провайдера, можно ли сделать forwarding на маршрутизатор, включив DNS службы NAT? Т. е. обойтись без явного указания IP внешних DNS-серверов - подобная схема используется с Kerio Winroute Firewall, только там NAT свой, а не от Windows.

Можешь вообще отключить форвардинг ДНС-запросов на сервак провайдера. Тогда виндовый ДНС-сервак будет спрашивать напрямую корневые ДНС-серваки, чьи адреса прекрасно известны. Только проследить надо, чтобы маршрутизатор пропускал нормально (с натом) ДНС-пакеты изнутри сетки и что в зоне удалена запись "." (точка).

ВОПРОС2: Как всё-таки должен быть настроен внутренний интерфейс маршрутизатора? Поле DNS оставлять пустыми, указывать в качестве DNS контроллер домена или на себя?
Поле шлюз оставлять пустым или на себя?

На нем указаны только его IP и маска. Можешь указать ДНСом домен-контроллер, если маршрутизатор умеет (и нужно) динамически регистрировать себя в ДНС. Хотя польза сомнительна - лучше в таком случае руками прописать в серваке для него запись.

 

[A00001]

Хорошо, подойдём с другой стороны.

Пусть на маршрутизаторе есть некоторое приложение, которое желает разрешить имя (преобразовать имя в адрес). На внешнем интерфейсе адрес DNS-сервера назначен провайдером, на внутреннем он не задан или указан адрес DC. Как будет действовать механизм разрешения имён?

Если на внутреннем интерфейсе ничего нет, то известен только dns провайдера, но он не может разрешить имена интрасети. Если же на внутр. интерфейсе указать DC, который знает про интрасеть, то куда будет обращение, к DC или к провайдеру?

В общем случае, если на компьютере есть несколько сетевых интерфейсов и на каждом задан свой DNS и сервера DNS не знают друг друга, как будет происходить разрешение произвольного имени? Есть какой-то приоритет у DNS или это вообще не работоспособно, если-DNS сервера работают не каскадом?

 

[waldo]

Хорошо, подойдём с другой стороны.

Пусть на маршрутизаторе есть некоторое приложение, которое желает разрешить имя (преобразовать имя в адрес). На внешнем интерфейсе адрес DNS-сервера назначен провайдером, на внутреннем он не задан или указан адрес DC. Как будет действовать механизм разрешения имён?

Если на внутреннем интерфейсе ничего нет, то известен только dns провайдера, но он не может разрешить имена интрасети. Если же на внутр. интерфейсе указать DC, который знает про интрасеть, то куда будет обращение, к DC или к провайдеру?

В общем случае, если на компьютере есть несколько сетевых интерфейсов и на каждом задан свой DNS и сервера DNS не знают друг друга, как будет происходить разрешение произвольного имени? Есть какой-то приоритет у DNS или это вообще не работоспособно, если-DNS сервера работают не каскадом?

Если рутер должен разрешать имена и интрасети и внешние, то схема должна быть такая.
1. Домен-контроллер с ДНС-серваком на нем. Либо поставить в форвардер адрес провайдера, либо забить - тогда будут использоваться корневые серваки.
2. На рутере. Во-первых, разрешить доступ по ДНА во вне с натом домен-контроллеру. Во-вторых. На внутреннем интерфейся поставить ДНСом домен-контроллер. На внешнем либо не ставить вообще, либо опять же домен-контроллера (даже если параметры получаются по ДХЦП, то можно приказать использовать не тот ДНС, который будет получен автоматом, а свой).

Тогда действовать все будет так. Все, кто желают разрешить ЛЮБОЕ имя, делают запрос на ДНС на домен-контроллере. Тот разрешает имена в домене, а внешние отправляет либо через форвардер, либо на корневые серваки. Рутер пропускает пакеты от него, делая на них нат.

 

[waldo]

Хмм.. додумал тут. Если провайдер выдает ДНС автоматически, то прописать его в форвардер на DC не получится.. Поэтому если хочется именно его использовать, то придется дополнительные шаги делать. На ДС прописать форвардером адрес рутера, а на рутере поднять форвардер ДНС (либо как сервак без зон, просто с форвардером, либо сторонней мелкой прожкой. Короче, куча проблем. Поэтому проще всего будет использовать корневые ДНС.

По поводу порядка использования ДНС-серваков - там все хитро. Винда вообще специфически ресолвит имена. Вообще порядок обращения к ДНСам на разных интерфейсах определяется их порядком в настройке привязок (Network and Dial-up Connections -> меню Advanced -> Advancer settings -> Connections, интерфейс обслуживающий локальную сеть должен быть первым, именно этот интерфейс будет считаться на сервере основным и к нему по умолчанию будут привязаны все службы и сервисы).
Кроме того, в свойствах локального интерфейса пропиши в ДНС-суффикс имя локального домена.