DNS на W2k3 server
Модератор: Модераторы
Сообщений: 21
• Страница 2 из 3 • 1, 2, 3
Harry33 » 12 май 2004, 09:47
AlexB
Выход? Отдельная машина выполняющая роль Firewall и шлюза в инет. С контроллера по возможности убрать все кроме внутреннего DNS.
Выход? Отдельная машина выполняющая роль Firewall и шлюза в инет. С контроллера по возможности убрать все кроме внутреннего DNS.
Знания, которые нельзя применить - бесполезны
AlexB » 12 май 2004, 09:55
Ну так по идее, машина, которая стоит выше, и выполняет эту функцию. Она и шлюз и Firewall. Только что контролируется не мной 
.
А так получается, что из сети надо выдергивать станцию и делать чем-то вроде сервака. С точки зрения безопасности я конечно полностью согласен, но ресурсы, к сожалению, очень ограничены. Во всяком случае на ближайшее время.
.
А так получается, что из сети надо выдергивать станцию и делать чем-то вроде сервака. С точки зрения безопасности я конечно полностью согласен, но ресурсы, к сожалению, очень ограничены. Во всяком случае на ближайшее время.
Harry33 » 12 май 2004, 10:10
Кроме контроллера нет другого сервера?
Знания, которые нельзя применить - бесполезны
AlexB » 12 май 2004, 10:44
К ВЕЛИКОМУ сожалению нет и пока не предвидится.
Но мне кажется мы чуть отклонились от темы.
При имеющихся условиях, как можно зарутить всю эту кухню на второй сетевой интерфейс и затем на шлюз (или прямо на ISP)? Можно иметь ввиду, что есть Kerio WinRoute Pro.
Но мне кажется мы чуть отклонились от темы.
При имеющихся условиях, как можно зарутить всю эту кухню на второй сетевой интерфейс и затем на шлюз (или прямо на ISP)? Можно иметь ввиду, что есть Kerio WinRoute Pro.
Harry33 » 12 май 2004, 11:22
Хорошо, теперь по сути вопроса.
1. Внутреннему DNS серверу разрешить работать только на внутреннем интерфейсе (настраивается в свойствах DNS сервера).
2. Поставить форвардинг неразрешенных запросов на внешние DNS сервера.
3. С внешнего сетевого адаптера убрать все кроме TCPIP.
4. В настройках TCPIP внутреннего адаптера DNS установить внутренний IP адрес сервера и больше никаких DNS!
5. Установить на сервер фаервол (керио или что лучше знаеш) прописать в LAT внутреннюю подсеть. Разрешить исходящие DNS запросы и zone Transfer Для DNS сервера... Как все это делается в Kerio я не знаю подсказать не могу.
6. В настройках клиентов в качестве DNS и шлюза по умолчанию - внутренний адрес твоего сервера.
1. Внутреннему DNS серверу разрешить работать только на внутреннем интерфейсе (настраивается в свойствах DNS сервера).
2. Поставить форвардинг неразрешенных запросов на внешние DNS сервера.
3. С внешнего сетевого адаптера убрать все кроме TCPIP.
4. В настройках TCPIP внутреннего адаптера DNS установить внутренний IP адрес сервера и больше никаких DNS!
5. Установить на сервер фаервол (керио или что лучше знаеш) прописать в LAT внутреннюю подсеть. Разрешить исходящие DNS запросы и zone Transfer Для DNS сервера... Как все это делается в Kerio я не знаю подсказать не могу.
6. В настройках клиентов в качестве DNS и шлюза по умолчанию - внутренний адрес твоего сервера.
Знания, которые нельзя применить - бесполезны
AlexB » 12 май 2004, 12:17
Так а с внешним интерфейсом что?
Меня же верхний сервак видит только если я имею определенный адрес (диапазон адресов). Например, внутренний IP адрес 172.12.2.1 , а внешний (обязательно должен быть) 192.168.0.7, шлюз - 192.168.0.1
Или я опять чото не догоняю.
Может вторым адресом к 172.12.2.1 прописать 192.168.0.7 ?
Меня же верхний сервак видит только если я имею определенный адрес (диапазон адресов). Например, внутренний IP адрес 172.12.2.1 , а внешний (обязательно должен быть) 192.168.0.7, шлюз - 192.168.0.1
Или я опять чото не догоняю.
Может вторым адресом к 172.12.2.1 прописать 192.168.0.7 ?
Harry33 » 12 май 2004, 12:49
AlexB
Да, внешний адрес твоего сервера должен быть из подсети верхнего сервера. Но DNS твой ему видеть там совсем необязательно.
У тебя один интерфейс на контроллере???
Добавь вторую сетевуху, обязательно, иначе смысла от твоего фаервола не будет ни какого. И не ставь несколько IP на интерфейс к которому прикручен DNS AD
Да, внешний адрес твоего сервера должен быть из подсети верхнего сервера. Но DNS твой ему видеть там совсем необязательно.
У тебя один интерфейс на контроллере???
Добавь вторую сетевуху, обязательно, иначе смысла от твоего фаервола не будет ни какого. И не ставь несколько IP на интерфейс к которому прикручен DNS AD
Знания, которые нельзя применить - бесполезны
Harry33 » 12 май 2004, 13:18
Значит на одной (внутренней) IP адрес из диапазона твоей подсети на второй (внешней) IP адрес из диапазона адресов верхнего сервера
Знания, которые нельзя применить - бесполезны
Сообщений: 21
• Страница 2 из 3 • 1, 2, 3
Вернуться в Сетевые операционные системы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0