Post by eruil problema è legato sia ai server DNS interni che ai client perchè
comunque i client puntano ai dns interni per risolvere i nomi.
e questa è cosa buona e giusta; il firewall (ISA nel tuo caso) dovrebbe
essere configurato per permettere queries DNS verso l'esterno SOLO
ai servers DNS della LAN (o al minimo a quelli utilizzati come resolvers
ricorsivi) e bloccare tutte le altre
Post by eruRiguardo alla regola hai ragione, ma sto aprendo sempre di più. ora
sono arrivato alla regola DNS all network and localhost verso all network
and localhost ma i problemi permangono.
occhio alla definizione del protocollo; devi permettere il traffico DNS
sia su UDP che su TCP (sempre porta 53) inoltre ti consiglio di attivare
una policy di gestione della banda in ISA assegnando al DNS una
priorità più alta rispetto agli altri protocolli
Post by eruPost by ObiWan [MVP]Perchè ??? Se i due DNS sono sui DC di intranet.local e supponendo
(spero che sia così) che "intranet.local" sia una zona Active Directory
NON ha assolutamente ALCUN senso impostare quel forward
Dovrebbe avere senso invece perchè si tratta di un dominio diverso dal
mio, non ci sono relazioni ne contiguità con il mio spazio dei nomi. Punto
a intranet.local solo per risorse intranet. Il mio dominio è qualcosa tipo
mio.locale
beh .. tu questo NON lo avevi scritto; dal tuo post sembrava che la zona
"intranet.local" fosse la tua zona AD; ok; in questo caso e considerando
che non hai relazione di trust con la zona è corretto impostare un forward
*CONDIZIONALE* solo per intranet.local e per l'eventuale reverse zone
della stessa
Post by eruSul DNS per internet ho usato solo i root-hints e non ho messo
forwarders. poi per le configurazioni slave-root, non so di che parli :)
sui DNS interni ho sia i root-hints che il forward verso il dns lato
internet.
la "slave-root" è un "passettino più avanti" rispetto alla config basata sui
root-hints in pratica si tratta di creare sul DNS che funge da "resolver"
(su
quello installato su ISA nel tuo caso) due zone di tipo "secondaria
standard" relative alle zone "." ed "in-addr.arpa" tali zone punteranno
ai servers 192.5.5.241 e 192.33.4.12 come servers primari; in questo
modo "salterai" un passaggio durante i lookups :) in ogni caso anche la
config basata su root-hints va benone
Post by eruPoi oggi, mi sono accorto che con nslookup, se lancio più volte una
query per risolvere indirizzi esterni tipo www.google.it, me la risolve
dopo 4, 5 tentativi, poi rimane in cache e la risolve sempre. per cui è
un problema di ritardo.
ricontrolla che il traffico DNS passi correttamente (53/udp e 53/tcp) oltre
a questo e come ti ho già scritto, assicurati di attivare una policy per la
gestione della banda in ISA ed assegna priorità alta al traffico DNS ed
inoltre disabilita l'uso di EDNS0 sul DNS installato su ISA (resolver) al
proposito vedi http://support.microsoft.com/kb/828263
ciao