Discussione:
Server DNS e DC
(troppo vecchio per rispondere)
Victor
2004-10-11 08:24:47 UTC
Permalink
Può un Domain Controller con due schede di rete, una
privata e una pubblica, con il proprio dominio sul
versante privato (pratica non ortodossa, lo so, Luciani
docet), fungere da server DNS per i pc del versante
pubblico?
Grazie.
Lamberti Mario [MVP]
2004-10-11 08:37:54 UTC
Permalink
Post by Victor
Può un Domain Controller con due schede di rete, una
privata e una pubblica, con il proprio dominio sul
versante privato (pratica non ortodossa, lo so, Luciani
docet), fungere da server DNS per i pc del versante
pubblico?
Grazie.
Si e puoi configurare il dns in modo che risponda su una specifica
interfaccia ( apri la console DNS, tasto dx sul nome server. Proprietà,
Interfaces) quindi potresti abilitare l'interfaccia pubblica se offre
servizi dns solo per l'esterno. Comunque è una cosa che non farei mai per le
varie implicazioni di sicurezza che comporta.

Ciao
--
Lamberti Mario
MCSE MCSA MCSA-M on Windows 2000
MVP - Windows Server
Victor
2004-10-11 08:59:03 UTC
Permalink
-----Messaggio originale---
Post by Victor
Può un Domain Controller con due schede di rete, una
privata e una pubblica, con il proprio dominio sul
versante privato (pratica non ortodossa, lo so, Luciani
docet), fungere da server DNS per i pc del versante
pubblico?
Grazie.
Si e puoi configurare il dns in modo che risponda su una
specifica interfaccia ( apri la console DNS, tasto dx sul
nome server. Proprietà, Interfaces) quindi potresti
abilitare l'interfaccia pubblica se offre servizi dns solo
per l'esterno.

Infatti è quello che ho fatto, ma non funziona. Se
disabilito NetBIOS sui vari pc dell'area pubblica (tutti
Windows 2000), impostando come indirizzo quello pubblico
del server, non vedono più le reciproche risorse.

Comunque è una cosa che non farei mai per le varie
implicazioni di sicurezza che comporta.
Si, lo so, ma non è molto grave perchè comunque l'area
pubblica rimane all'interno della LAN aziendale, protetta
da firewall.

Grazie.
Andrea Gallazzi [MVP]
2004-10-11 09:10:38 UTC
Permalink
Post by Victor
Infatti è quello che ho fatto, ma non funziona. Se
sabilito NetBIOS sui vari pc dell'area pubblica (tutti
Windows 2000), impostando come indirizzo quello pubblico
del server, non vedono più le reciproche risorse.
Inoltre avrai problemi con tutta l'AD!
Devi avere un server DNS all'interno di un dominio AD.
E deve contenere la zona del dominio.
Non puoi semplicemente escluderlo.
Post by Victor
Comunque è una cosa che non farei mai per le varie
implicazioni di sicurezza che comporta.
Si, lo so, ma non è molto grave perchè comunque l'area
pubblica rimane all'interno della LAN aziendale, protetta
da firewall.
Non sai quante cose si possono fare anche attraverso un firewall!
Meglio far sapere il meno possibile a chi ti attacca.
Certo che se gli dai già gli indirizzi... un bel favore!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Victor
2004-10-11 09:15:35 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Inoltre avrai problemi con tutta l'AD!
Devi avere un server DNS all'interno di un dominio AD.
E deve contenere la zona del dominio.
Non puoi semplicemente escluderlo.
Veramente la zona DNS del dominio privato funziona
benissimo. Ma quello che vorrei sapere è se per gestire
l'area pubblica sempre dallo stesso server devo creare
un'altra zona.
Andrea Gallazzi [MVP]
2004-10-11 09:37:34 UTC
Permalink
Post by Victor
Veramente la zona DNS del dominio privato funziona
benissimo.
Ma come? Hai altri server DNS interni?
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
VICTOR
2004-10-11 09:45:02 UTC
Permalink
-----Messaggio originale---
Post by Victor
Veramente la zona DNS del dominio privato funziona
benissimo.
Ma come? Hai altri server DNS interni?
E' sempre lo stesso server, che è anche DC.
Massimiliano Luciani [MVP]
2004-10-11 10:12:43 UTC
Permalink
Post by VICTOR
E' sempre lo stesso server, che è anche DC.
Se il nome di dominio interno corrisponde con quello esterno ( esempio
azienda.it ) esiste una tecnica chiamata Split Dns, ma richiede più server,
non riesci a farlo con un solo server.
Se invece hai 2 zone distinte:
1 Integrata in Active Directory per la risoluzione nomi interni ( chiamata
anche zona autoritativa per il dominio ) che si chiama azienda.local ed 1
zona pubblica ( primary zone ) puoi distaccare facilmente la parte pubblica
da quella privata.

Ma a parte questo.... i client della tua rete hanno indirizzamento pubblico
o privato?

Puoi acquistare almeno un'altra macchina?
--
Massimiliano Luciani

Microsoft MVP ( Windows Server - Networking )
http://italy.mvps.org

This posting is provided "AS IS" with no warranties and confers no rights
Victor
2004-10-11 10:31:15 UTC
Permalink
-----Messaggio originale---
Post by VICTOR
E' sempre lo stesso server, che è anche DC.
Se il nome di dominio interno corrisponde con quello
esterno ( esempio
azienda.it ) esiste una tecnica chiamata Split Dns, ma
richiede più server,
non riesci a farlo con un solo server.
1 Integrata in Active Directory per la risoluzione nomi
interni ( chiamata
anche zona autoritativa per il dominio ) che si chiama
azienda.local ed 1
zona pubblica ( primary zone ) puoi distaccare facilmente
la parte pubblica
da quella privata.
Attualmente ho una sola zona DNS, che coincide con il
dominio.
Ma a parte questo.... i client della tua rete hanno
indirizzamento pubblico o privato?

Privato, nattati dietro il server.
Puoi acquistare almeno un'altra macchina?
Beh, devo fornire delle buone motivazioni :-)
Massimiliano Luciani [MVP]
2004-10-11 11:17:45 UTC
Permalink
Post by Victor
Attualmente ho una sola zona DNS, che coincide con il
dominio.
Un bel casino! La tua rete è seriamente a rischio, perchè tutti i tuoi
client sono registrati nel dns, e qualsiasi persona può fare query
all'interno della tua zona.
Post by Victor
Privato, nattati dietro il server.
Ok mettiamo conto che il tuo piano di indirizzamento sia 192.168.1.0/24 per
capirci meglio...
Se acquisti un'altra macchina e fai una configurazione del genere risolvi
tutti i tuoi problemi:

- Al domain controller attuale gli togli una scheda di rete, il tuo piano di
indirizzamento interno sarà 192.168.1.0/24 ( è un esempio, poi imposti la
tua rete come vuoi ). Questo domain controller sarà il Dns Server, che
mantiene la zona autoritativa per il tuo dominio interno. I tuoi client come
risolutore nomi utilizzeranno questa macchina. Tale Dns Server farà
farwarding per le risoluzioni nomi Internet e le eventuali altri reti.
- La nuova macchina che dovrai acquistare avrà 2 schede di rete:
1- Scheda interna: 192.168.1.0/24 Questa scheda serve per far comunicare la
tua rete interna con la nuova macchina. Sarà il default gatway per tutte le
macchine della rete lan.
- Scheda esterna: "Indirizzo Pubblico" Questa scheda servirà per farti
raggiungere da internet.
La nuova macchina avrà installato il modulo Routing and Remote Access, che
permetterà la traslazione e il packet filtering dei pacchetti rivolti
all'interno e all'esterno della lan. Su tale macchina sarà installato un Dns
Server, che manterrà la zona primaria "azienda.it" che non sarà integrata in
Active Directory, essa servirà per risolvere i nomi host da internet.

Come vedi questa è una configurazione "normale" e che tutti dovrebbero fare.
A questo punto la macchina da scegliere può essere una di queste 2:
- Un server entry level, Windows 2000/2003 Server, eventuale Proxy a tuo
piacimento.
- Una macchina dedicata. Se hai pochi clients, ti consiglio di acquistare le
versione Appliance di CheckPoint ad esempio ( CPSB-110-EU Check Point ).

Poi ognuno fa le proprie scelte in base a cosa sa amministrare....
Post by Victor
Beh, devo fornire delle buone motivazioni :-)
Ti bastano quelle che ti ho dato? Credi che ne servano altre? :-)
Ciao
--
Massimiliano Luciani

Microsoft MVP ( Windows Server - Networking )
http://italy.mvps.org

This posting is provided "AS IS" with no warranties and confers no rights
Victor
2004-10-12 08:19:07 UTC
Permalink
Post by Massimiliano Luciani [MVP]
Ti bastano quelle che ti ho dato? Credi che ne servano altre? :-)
Direi di no. Sei stato, come sempre, molto chiaro ed esauriente. Grazie mille.
Ciao.
Marco.

Massimiliano Luciani [MVP]
2004-10-11 09:18:00 UTC
Permalink
Victor wrote:
[...]
Post by Victor
Infatti è quello che ho fatto, ma non funziona. Se
disabilito NetBIOS sui vari pc dell'area pubblica (tutti
Windows 2000), impostando come indirizzo quello pubblico
del server, non vedono più le reciproche risorse.
Solitamente sul segmento pubblico non risiede alcun pc, tantomeno se fanno
parte di una lan. Al massimo si mettono dei server stand-alone in una dmz
con un piano di indirizzamento pubblico, ma anche questo è sconsigliabile
ammenochè tu non abbia una back-to-back dmz.
Perchè metti dei pc in un'area pubblica? Qual è il vantaggio? A cosa ti
servono?
Post by Victor
Si, lo so, ma non è molto grave perchè comunque l'area
pubblica rimane all'interno della LAN aziendale, protetta
da firewall.
La zona pubblica mantiene i record NS ed A quindi è pubblica tutta la tua
lan anche se dietro un firewall! Qualsiasi query fatta su quel server dns
dall'esterno ( porta 53 tcp ) mostrerà tutti i computer della rete, ti
sembra una cosa ben fatta?
Spiegaci a cosa ti serve fare una cosa del genere, non capisco... e come me
anche Mario e Andrea :-)
Post by Victor
Grazie.
Niente, ciao
--
Massimiliano Luciani

Microsoft MVP ( Windows Server - Networking )
http://italy.mvps.org

This posting is provided "AS IS" with no warranties and confers no rights
Victor
2004-10-11 09:28:26 UTC
Permalink
Ciao, Massi, ci ritroviamo.
Allora, tutti i pc della LAN aziendale (è un'azienda
pubblica) hanno indirizzi pubblici, divise in aree perchè
sono circa mille. Non chiedetemi perchè, sono scelte che
passano sopra la mia testa. Io mi limito ad amministrare
una piccola sala multimediale con un server che fa sia da
DC che da file server, nonchè da proxy. Ora, questo server
contiene materiale (file multimediali) che deve essere
messo a disposizione anche di altri pc che si trovano
FUORI del dominio. L'attuale configurazione è stata
implementata prima che io arrivassi, ma niente mi
impedisce di cambiarla, se voi avete qualche idea migliore.
Spero di avere chiarito.
Grazie.
Andrea Gallazzi [MVP]
2004-10-11 09:36:48 UTC
Permalink
Post by Victor
Ora, questo server
Ma è un server solo?
A che ti serve un DNS?
Non ti basta dargli l'IP?

Dovrai farli accedere al DNS per la risoluzione e qui non vedo come.
Registra se vuoi su internet un nome.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
victor
2004-10-11 09:43:17 UTC
Permalink
Ehi, ragazzi, vi ringrazio della premura, ma non riesco a
rispondere a tutti e tre! :-)
Post by Andrea Gallazzi [MVP]
Ma è un server solo?
A che ti serve un DNS?
Non ti basta dargli l'IP?
Si, infatti attraverso l'IP posso accedere, ma non pensavo
che attivare un server DNS per la mia area comportasse
tutti questi problemi. Farò così, utilizzerò l'IP, avendo
disattivato NetBIOS sul server.

Tra l'altro, questo problema si ricollega a quello che
avevo già postato sul NG, non trovando risposta. Lo
riporto:
"In un dominio il DC, sul quale gira Windows 2003, ha due
schede di rete, una pubblica e una privata. Dell'area
pubblica fanno parte 24 pc (nattati) per i quali il DC
funge anche da proxy. Sul versante pubblico ci sono vari
altri pc, sempre appartenenti alla stessa LAN, per i quali
questa macchina svolge il ruolo di file server. Di questi
solo uno è membro del dominio, e ha due schede di rete,
una con indirizzo privato e una con indirizzo pubblico.
Vorrei eliminare la scheda privata, ma, paradossalmente,
se su questo pc faccio il login come utente di dominio e
disabilito la scheda privata, non riesco più a vedere le
risorse degli altri pc sul versante pubblico. Se la
riabilito, ricompaiono.
Qualche idea del motivo per cui questo accade?"

Grazie della pazienza.
Andrea Gallazzi [MVP]
2004-10-11 10:02:16 UTC
Permalink
Post by victor
Si, infatti attraverso l'IP posso accedere, ma non pensavo
che attivare un server DNS per la mia area comportasse
tutti questi problemi. Farò così, utilizzerò l'IP, avendo
disattivato NetBIOS sul server.
Continuo a non capire.
Ora ti spiego quello che ho in mente, potrei aver sbagliato, ma se non ci
spieghi da capo per bene cosa vuoi ottenere ognuno di noi avrà stralci di
informazioni prese qua e là.
Tu devi far accedere dei client su internet al tuo server multimediale.
Questo server ha un indirizzo pubblico raggiungibile dai client.
Tu vuoi mettere su un servizio DNS per fare in modo che possano accedervi
usando il nome. NO.
Il tuo servizio DNS non è riconosciuto da internet, a meno che tu non faccia
accordi particolari con il mantainer.

Quindi chiedi semplicemente al tuo mantainer di aggiungere il record
servermultimediale.miodominio.it al loro server DNS con l'indirizzo IP
pubblico del tuo server.
Problema risolto.

Scusa se sono andato fuori, ma questo è quello che ho capito.

Se invece questi client non si trovano su internet, ma in una altra LAN a
voi connessa puoi fare un forwarding per la tua zona oppure meglio mettere
semplicemente il record sopra citato.
Post by victor
Vorrei eliminare la scheda privata, ma, paradossalmente,
se su questo pc faccio il login come utente di dominio e
disabilito la scheda privata, non riesco più a vedere le
risorse degli altri pc sul versante pubblico. Se la
riabilito, ricompaiono.
Ti ho già risposto tante volte a questa domanda.
Il tuo "non vedere" è dovuto al servizio di browsing, tra l'altro antiquato.
Quindi non farmici tornare e leggi le mie risposte.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Victor
2004-10-11 10:42:35 UTC
Permalink
ma se non ci spieghi da capo per bene cosa vuoi ottenere
ognuno di noi avrà stralci di informazioni prese qua e là.

Ok, allora se non ti spiace proseguo il discorso solo con
Luciani. Grazie
Lamberti Mario [MVP]
2004-10-11 09:24:58 UTC
Permalink
Post by Victor
Infatti è quello che ho fatto, ma non funziona. Se
disabilito NetBIOS sui vari pc dell'area pubblica (tutti
Windows 2000), impostando come indirizzo quello pubblico
del server, non vedono più le reciproche risorse.
Si, lo so, ma non è molto grave perchè comunque l'area
pubblica rimane all'interno della LAN aziendale, protetta
da firewall.
Grazie.
Io credevo che volevi configurare una zona dns esterna ovvero che risolvesse
nomi di risorse pubbliche tipo i tuoi server web, mentre da quanto leggo hai
due aree (pubblica, privata) suddivise ma con risorse (nel tuo caso
computer) dello stesso dominio, vero? Come mai questa configurazione?
--
Lamberti Mario
MCSE MCSA MCSA-M on Windows 2000
MVP - Windows Server
victor
2004-10-11 09:36:51 UTC
Permalink
Come mai questa configurazione?
Ho risposto più sotto a Massimiliano.
Victor
2004-10-11 09:10:52 UTC
Permalink
Volevo dire "...impostando come DNS l'indirizzo pubblico
del server, non vedono più le reciproche risorse..."
Andrea Gallazzi [MVP]
2004-10-11 08:44:20 UTC
Permalink
Post by Victor
Può un Domain Controller con due schede di rete, una
privata e una pubblica, con il proprio dominio sul
versante privato (pratica non ortodossa, lo so, Luciani
docet), fungere da server DNS per i pc del versante
pubblico?
Certo, perchè no.
Ma in questo modo renderai pubblica anche la tua conformazione della rete
interna.
Non è carino... :-)
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Continua a leggere su narkive:
Loading...