Два ДНС на одном серваке
Модератор: Модераторы
Сообщений: 14
• Страница 1 из 2 • 1, 2
Damir » 19 окт 2004, 12:33
Здравствуйте, ALL.
Вопрос такой - есть сервер с двумя интерфейсами. Может ли он одновременно выступать в роли двух серверов ДНС - первый (привинчен к одному интерфейсу) смотрит "наружу", т.е. в родительский домен, а второй (к другому соответственно) смотрит на первый. Смогут ли они "ужиться" физически, а скорее - логически, на одной системе (Вин2к)? Если да, каке могут быть траблы? Заранее спасибо за ответы
Вопрос такой - есть сервер с двумя интерфейсами. Может ли он одновременно выступать в роли двух серверов ДНС - первый (привинчен к одному интерфейсу) смотрит "наружу", т.е. в родительский домен, а второй (к другому соответственно) смотрит на первый. Смогут ли они "ужиться" физически, а скорее - логически, на одной системе (Вин2к)? Если да, каке могут быть траблы? Заранее спасибо за ответы
Damir » 19 окт 2004, 13:00
Да, забыл совосем - интерфейсы в разных сетевых сегментах (типа 192.168.1.0 и 192.168.12.0). Маршрутизация, естесно, будет.
domovoy » 19 окт 2004, 13:07
Damir
НЕТ
DNS сервер это сервис, который работает с определенным портом, если он уже занял порт, как может работать его вторая копия
Это если говрить так сказать в грубом варианте.
А что тебе мешает просто на ОДНОМ ДНС сервере держать разные зоны для твоих сетевых сегментов ?
НЕТ
DNS сервер это сервис, который работает с определенным портом, если он уже занял порт, как может работать его вторая копия
Это если говрить так сказать в грубом варианте.
А что тебе мешает просто на ОДНОМ ДНС сервере держать разные зоны для твоих сетевых сегментов ?
Правильно заданный вопрос - это уже половина ответа.
Damir » 19 окт 2004, 14:58
domovoy
Мешают правила безопасности. Один сегмент - это зона корпоративных ресурсов, полностью открытая, там должен быть "базовый" ДНС для всех сегментов сети, полностью открытый. Второй интерфейс - мой сегмент, конкретно моей конторы в смысле, как бы "вторичный", поскольку "наружу" не смотрит. Просто думал одним серваком обойтись. Да, действительно, что-то я затупил Очевидно, придется держать только "базовый" ДНС на этом сервере. А на другом компе заводить ДНС для своего сегмента. А субдомен у нас один на все сегменты, так что с разными зонами не получится
Мешают правила безопасности. Один сегмент - это зона корпоративных ресурсов, полностью открытая, там должен быть "базовый" ДНС для всех сегментов сети, полностью открытый. Второй интерфейс - мой сегмент, конкретно моей конторы в смысле, как бы "вторичный", поскольку "наружу" не смотрит. Просто думал одним серваком обойтись. Да, действительно, что-то я затупил
Очевидно, придется держать только "базовый" ДНС на этом сервере. А на другом компе заводить ДНС для своего сегмента. А субдомен у нас один на все сегменты, так что с разными зонами не получится Harry33 » 19 окт 2004, 15:38
Damir
Че то я не понял... О домене речь не идет судя по всему? Что мешает разобраться на уровне прав доступа?
Че то я не понял... О домене речь не идет судя по всему? Что мешает разобраться на уровне прав доступа?
Знания, которые нельзя применить - бесполезны
Damir » 19 окт 2004, 15:57
Harry33
Почему не идет? Есть субдомен, все ДНС в одном субдомене, у меня в нем их 10 штук (вызвано большим количеством удаленных филиалов) - по одному на каждый сегмент. Встал вопрос о выделении отдельного сегмента для корпоративных ресурсов, где должен наличествовать "базовый" ДНС (несколько искусственный термин, подразумевается, что только он смотрит "наружу", т.е. в родительский домен. Он же бриджхедом будет, если применительно к сайтовой структуре). Могу я один сетевой интерфейс вывести в этот сегмент, а второй оставить в своем? Как мне ответил Domovoy, нельзя. ОК, будем по разным тачкам разносить. Речь об этом шла - могут как бы 2 ДНС жить на одном серваке на разных интерфейсах? Кстати (to Domovoy), интересовали меня не две копии сервиса, а именно одна и ее жизня на 2х адресах. Да, что-т я тут намутил А как это может увязываться с правами доступа, что-то непонятно, о чем вопрос? Поясните, плз.
Еще, применительно к маршрутизации - подскажите, плз, какие порты используются для репликаций?
Почему не идет? Есть субдомен, все ДНС в одном субдомене, у меня в нем их 10 штук (вызвано большим количеством удаленных филиалов) - по одному на каждый сегмент. Встал вопрос о выделении отдельного сегмента для корпоративных ресурсов, где должен наличествовать "базовый" ДНС (несколько искусственный термин, подразумевается, что только он смотрит "наружу", т.е. в родительский домен. Он же бриджхедом будет, если применительно к сайтовой структуре). Могу я один сетевой интерфейс вывести в этот сегмент, а второй оставить в своем? Как мне ответил Domovoy, нельзя. ОК, будем по разным тачкам разносить. Речь об этом шла
- могут как бы 2 ДНС жить на одном серваке на разных интерфейсах? Кстати (to Domovoy), интересовали меня не две копии сервиса, а именно одна и ее жизня на 2х адресах. Да, что-т я тут намутил А как это может увязываться с правами доступа, что-то непонятно, о чем вопрос? Поясните, плз.
Еще, применительно к маршрутизации - подскажите, плз, какие порты используются для репликаций?
Harry33 » 19 окт 2004, 16:17
Damir
Для репликаций чего? для DNS порты 53 TCP UDP
Ну если у тебя есть корневой домен в голове ниже куча субдоменов, то вчем проблемы со скрытием лишних имен? Я понять не могу цели эти танцев.... Поясни плиз. Если ты начнеш перекручивать DNS пр иимеющемся в наличии AD ничего кроме гиммора ты не получиш уж очень жесткая это связка. Опиши задачу по пунктам
Для репликаций чего? для DNS порты 53 TCP UDP
Ну если у тебя есть корневой домен в голове ниже куча субдоменов, то вчем проблемы со скрытием лишних имен? Я понять не могу цели эти танцев.... Поясни плиз. Если ты начнеш перекручивать DNS пр иимеющемся в наличии AD ничего кроме гиммора ты не получиш уж очень жесткая это связка. Опиши задачу по пунктам
Знания, которые нельзя применить - бесполезны
Damir » 19 окт 2004, 16:49
Harry33
Неправильно понял. Есть корневой домен (дерева и леса заодно) - он в москве. У нас - субдомен, ОДИН, сетка типа 192.168.0.0, разбита на подсети типа 192.168.1.0, 192.168.2.0 и тр.пр. У меня - "первичный" DC, смотрит на москву По филиалам (у каждого свой сегмент, но все в ТОМ ЖЕ субдомене) - свои DC, они же GC (ну линии у нас откровенно плохие). По поводу скрытия имен - я понял, когда задал вопрос, и мне ответили (ты, наверное). Нельзя скрыть имена в одном домене так нельзя. Фиг с ними, пусть висят в общем списке, мы просто подгоним систему именования ПК под стандарт, сразу будет видно who is who:). Речь щас идет о существовании на ОДНОМ сервере на ДВУХ РАЗНЫХ интерфейсах как бы ДВУХ РАЗНЫХ ДНС, один из которых должен быть в открытой для всех зоне (сегменте) и смотреть на москву ( и принадлежать ОДНОМУ сегменту), а второй должен быть во ВТОРОМ сегменте (моем), быть закрыт для всех окромя моего сегмента и глядеть на первый. Как я понял, две копии одного сервиса (то бишь ДНС) одновременно крутиться не смогут. Возможна ли работа одного сервиса ДНС (одной копии), но привинченной к разным сетевым интерфейсам с разными адресами и находящимися в разных сегментах соответственно? Но на ОДНОМ серваке. Походу нельзя, как я понял
А насчет перекручивания ДНС - сколько раз делал. Т.к. линии хреновые, DC в домен вводятся не всегда корректно, приходится переделывать (сносишь нтдсутилом и адсиедитом и по-новой. Пару раз даже было так - ввожу DC физически у себя, с адресом из моего сегмента, жду репликаций, потом меняю адрес на другой и вырубаю ПК, сервак включают уже на филиале, все нормально реплицируется, меняется в ДНС что у нас, что в москве. Дальше работает без траблов. Гемор конечно, но не смертельный
Кстати, не подскажешь - мой энтерпрайз уверяет, что авторизация DHCP сервера в моем субдомене - это только его возможность, но не моя (я просто домен админ в рамках своего субдомена). Можно как-нить мне право это передать?
Неправильно понял. Есть корневой домен (дерева и леса заодно) - он в москве. У нас - субдомен, ОДИН, сетка типа 192.168.0.0, разбита на подсети типа 192.168.1.0, 192.168.2.0 и тр.пр. У меня - "первичный" DC, смотрит на москву
По филиалам (у каждого свой сегмент, но все в ТОМ ЖЕ субдомене) - свои DC, они же GC (ну линии у нас откровенно плохие). По поводу скрытия имен - я понял, когда задал вопрос, и мне ответили (ты, наверное). Нельзя скрыть имена в одном домене так нельзя. Фиг с ними, пусть висят в общем списке, мы просто подгоним систему именования ПК под стандарт, сразу будет видно who is who:). Речь щас идет о существовании на ОДНОМ сервере на ДВУХ РАЗНЫХ интерфейсах как бы ДВУХ РАЗНЫХ ДНС, один из которых должен быть в открытой для всех зоне (сегменте) и смотреть на москву ( и принадлежать ОДНОМУ сегменту), а второй должен быть во ВТОРОМ сегменте (моем), быть закрыт для всех окромя моего сегмента и глядеть на первый. Как я понял, две копии одного сервиса (то бишь ДНС) одновременно крутиться не смогут. Возможна ли работа одного сервиса ДНС (одной копии), но привинченной к разным сетевым интерфейсам с разными адресами и находящимися в разных сегментах соответственно? Но на ОДНОМ серваке. Походу нельзя, как я понял
А насчет перекручивания ДНС - сколько раз делал. Т.к. линии хреновые, DC в домен вводятся не всегда корректно, приходится переделывать (сносишь нтдсутилом и адсиедитом и по-новой
. Пару раз даже было так - ввожу DC физически у себя, с адресом из моего сегмента, жду репликаций, потом меняю адрес на другой и вырубаю ПК, сервак включают уже на филиале, все нормально реплицируется, меняется в ДНС что у нас, что в москве. Дальше работает без траблов. Гемор конечно, но не смертельный
Кстати, не подскажешь - мой энтерпрайз уверяет, что авторизация DHCP сервера в моем субдомене - это только его возможность, но не моя (я просто домен админ в рамках своего субдомена). Можно как-нить мне право это передать?
PavelKHTW » 19 окт 2004, 19:10
| Цитата (Damir @ 19.10.2004 - 11:33) |
| Здравствуйте, ALL.
Вопрос такой - есть сервер с двумя интерфейсами. Может ли он одновременно выступать в роли двух серверов ДНС - первый (привинчен к одному интерфейсу) смотрит "наружу", т.е. в родительский домен, а второй (к другому соответственно) смотрит на первый. Смогут ли они "ужиться" физически, а скорее - логически, на одной системе (Вин2к)? Если да, каке могут быть траблы? Заранее спасибо за ответы
[/quote] - если зоны будут разными - можно(точнее это будет один DNS сервер). Например зона zone1.local.net и zone1.out.net - замечательно уживуться Ну а чтобы с твоей внутренней зоны никто кроме своих не мог получать имена - настрой секурити.
PavelKHTW
ОДИН субдомен. Каким тут боком могут быть разные зоны? Она тоже одна - типа mycompany.centre.com. Вариации невозможны, тем более что я общей схемой не командую. Ладно, диагноз ясный - нифига не выйдет. Дождусь ответа на пару вопросов и тему закрываю.
Сообщений: 14
• Страница 1 из 2 • 1, 2
Вернуться в Сетевые операционные системы Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |