Discussione:
Problema DNS
(troppo vecchio per rispondere)
eru
2007-02-19 11:47:45 UTC
Permalink
Ciao,
ho i server DNS che ogni giorno smettono di risolvere gli indirizzi internet
e non so proprio da dove partire per risolvere.
tutti gli indirizzi dei domini interni vengono risolti, ma quelli di
internet no.
Poi faccio un riavvio dei server DNS e ricomincia a funzionare tutto...
aiutatemi a capire per favore.
Giuseppe Nacci
2007-02-19 12:03:04 UTC
Permalink
Post by eru
Ciao,
ho i server DNS che ogni giorno smettono di risolvere gli indirizzi
internet e non so proprio da dove partire per risolvere.
tutti gli indirizzi dei domini interni vengono risolti, ma quelli di
internet no.
Poi faccio un riavvio dei server DNS e ricomincia a funzionare
tutto... aiutatemi a capire per favore.
Ci parli dei tuoi server dns? son interni alla Lan e poi fanno forwarding ai
dns esterni? Se cosi fosse riconfigura il tuo server dns per utilizzare i
root hints. Comunque dicci di più.....

P.S. Quali dns utilizzi, in questi giorni c'è qualche problemuccio con
interbusiness.....
--
Giuseppe Nacci
eru
2007-02-19 18:55:19 UTC
Permalink
Post by Giuseppe Nacci
Ci parli dei tuoi server dns? son interni alla Lan e poi fanno forwarding ai
dns esterni? Se cosi fosse riconfigura il tuo server dns per utilizzare i
root hints. Comunque dicci di più.....
Allora il DNS che uso per risolvere gli indirizzi internet è installato sull
ISA server di front end.
svolge solo funzioni di cache.
Poi ho 2 DNS interni installati sui controller di dominio autoritativi per
la zona di active directory e che fanno forward ;
per il dominio intranet.local all'ip 10.10.10.10 ed ho fleggato no recursive
query (questo è un dns nella nostra lan e mi risolve i nomi di risorse della
nostra intranet)
per tutto il resto fanno forward al dns di cui parlavo prima ed installato
sull'isa di front end.

Sinceramente non penso sia un problema legato ad isa, perchè internamente
(sull'isa di backend) ho creato queste regole relative al traffico dns;
da client a server DNS active directory.
da Dns active directory a DNS autoritativo per intranet.local e DNS
installato su isa di front end

Sul frontend ho;
da localhost verso external
da server dns interni a external
Giuseppe Nacci
2007-02-20 11:06:58 UTC
Permalink
Post by eru
Post by Giuseppe Nacci
Ci parli dei tuoi server dns? son interni alla Lan e poi fanno forwarding ai
dns esterni? Se cosi fosse riconfigura il tuo server dns per
utilizzare i root hints. Comunque dicci di più.....
Allora il DNS che uso per risolvere gli indirizzi internet è
installato sull ISA server di front end.
svolge solo funzioni di cache.
Poi ho 2 DNS interni installati sui controller di dominio
autoritativi per la zona di active directory e che fanno forward ;
per il dominio intranet.local all'ip 10.10.10.10 ed ho fleggato no
recursive query (questo è un dns nella nostra lan e mi risolve i nomi
di risorse della nostra intranet)
per tutto il resto fanno forward al dns di cui parlavo prima ed
installato sull'isa di front end.
Sinceramente non penso sia un problema legato ad isa, perchè
internamente (sull'isa di backend) ho creato queste regole relative
al traffico dns; da client a server DNS active directory.
da Dns active directory a DNS autoritativo per intranet.local e DNS
installato su isa di front end
Sul frontend ho;
da localhost verso external
da server dns interni a external
D'accordo, ma Isa a chi punta per risolvere i nomi? Quando hai il problema,
Isa continua a risolvere i nomi internet (quindi il problema rimane isolato
sui clients) oppure no?
Da localhost verso external cosa?
Da server dns interni a external perchè se in effetti questi fanno
forwarding ad Isa? Dovrebbe essere da server dns interni verso Isa, non
pensi?
--
Giuseppe Nacci
eru
2007-02-20 23:56:05 UTC
Permalink
Post by Giuseppe Nacci
D'accordo, ma Isa a chi punta per risolvere i nomi? Quando hai il
problema, Isa continua a risolvere i nomi internet (quindi il problema
rimane isolato sui clients) oppure no?
Da localhost verso external cosa?
Da server dns interni a external perchè se in effetti questi fanno
forwarding ad Isa? Dovrebbe essere da server dns interni verso Isa, non
pensi?
il problema è legato sia ai server DNS interni che ai client perchè comunque
i client puntano ai dns interni per risolvere i nomi.
Riguardo alla regola hai ragione, ma sto aprendo sempre di più. ora dono
arrivato alla regola DNS all network and localhost verso all network and
localhost ma i problemi permangono.
Post by Giuseppe Nacci
Poi ho 2 DNS interni installati sui controller di dominio autoritativi
per la zona di active directory e che fanno forward ; per il dominio
intranet.local all'ip 10.10.10.10 ed ho fleggato no recursive query
Perchè ??? Se i due DNS sono sui DC di intranet.local e supponendo
(spero che sia così) che "intranet.local" sia una zona Active Directory
NON ha assolutamente ALCUN senso impostare quel forward

Dovrebbe avere senso invece perchè si tratta di un dominio diverso dal mio,
non ci sono relazioni ne contiguità con il mio spazio dei nomi. Punto a
intranet.local solo per risorse intranet. Il mio dominio è qualcosa tipo
mio.locale
Post by Giuseppe Nacci
Post by eru
Allora il DNS che uso per risolvere gli indirizzi
internet è installato sull ISA server di front end.
svolge solo funzioni di cache.
si ok.. ma il DNS che sta su ISA usa dei forwarders o no ?
Personalmente *eviterei* l'uso dei forwarders in questo
caso utilizzando i root-hints o addirittura una configurazione
di tipo slave-root
Sul DNS per internet ho usato solo i root-hints e non ho messo forwarders.
poi per le configurazioni slave-root, non so di che parli :)
sui DNS interni ho sia i root-hints che il forward verso il dns lato
internet.

Poi oggi, mi sono accorto che con nslookup, se lancio più volte una query
per risolvere indirizzi esterni tipo www.google.it, me la risolve dopo 4, 5
tentativi, poi rimane in cache e la risolve sempre. per cui è un problema di
ritardo.
bha, adesso ho un po' sonno per lavorare... se ne riparla domani, comunque
grazie davvero per le risposte.
ObiWan [MVP]
2007-02-21 08:11:38 UTC
Permalink
Post by eru
il problema è legato sia ai server DNS interni che ai client perchè
comunque i client puntano ai dns interni per risolvere i nomi.
e questa è cosa buona e giusta; il firewall (ISA nel tuo caso) dovrebbe
essere configurato per permettere queries DNS verso l'esterno SOLO
ai servers DNS della LAN (o al minimo a quelli utilizzati come resolvers
ricorsivi) e bloccare tutte le altre
Post by eru
Riguardo alla regola hai ragione, ma sto aprendo sempre di più. ora
sono arrivato alla regola DNS all network and localhost verso all network
and localhost ma i problemi permangono.
occhio alla definizione del protocollo; devi permettere il traffico DNS
sia su UDP che su TCP (sempre porta 53) inoltre ti consiglio di attivare
una policy di gestione della banda in ISA assegnando al DNS una
priorità più alta rispetto agli altri protocolli
Post by eru
Post by ObiWan [MVP]
Perchè ??? Se i due DNS sono sui DC di intranet.local e supponendo
(spero che sia così) che "intranet.local" sia una zona Active Directory
NON ha assolutamente ALCUN senso impostare quel forward
Dovrebbe avere senso invece perchè si tratta di un dominio diverso dal
mio, non ci sono relazioni ne contiguità con il mio spazio dei nomi. Punto
a intranet.local solo per risorse intranet. Il mio dominio è qualcosa tipo
mio.locale
beh .. tu questo NON lo avevi scritto; dal tuo post sembrava che la zona
"intranet.local" fosse la tua zona AD; ok; in questo caso e considerando
che non hai relazione di trust con la zona è corretto impostare un forward
*CONDIZIONALE* solo per intranet.local e per l'eventuale reverse zone
della stessa
Post by eru
Sul DNS per internet ho usato solo i root-hints e non ho messo
forwarders. poi per le configurazioni slave-root, non so di che parli :)
sui DNS interni ho sia i root-hints che il forward verso il dns lato
internet.
la "slave-root" è un "passettino più avanti" rispetto alla config basata sui
root-hints in pratica si tratta di creare sul DNS che funge da "resolver"
(su
quello installato su ISA nel tuo caso) due zone di tipo "secondaria
standard" relative alle zone "." ed "in-addr.arpa" tali zone punteranno
ai servers 192.5.5.241 e 192.33.4.12 come servers primari; in questo
modo "salterai" un passaggio durante i lookups :) in ogni caso anche la
config basata su root-hints va benone
Post by eru
Poi oggi, mi sono accorto che con nslookup, se lancio più volte una
query per risolvere indirizzi esterni tipo www.google.it, me la risolve
dopo 4, 5 tentativi, poi rimane in cache e la risolve sempre. per cui è
un problema di ritardo.
ricontrolla che il traffico DNS passi correttamente (53/udp e 53/tcp) oltre
a questo e come ti ho già scritto, assicurati di attivare una policy per la
gestione della banda in ISA ed assegna priorità alta al traffico DNS ed
inoltre disabilita l'uso di EDNS0 sul DNS installato su ISA (resolver) al
proposito vedi http://support.microsoft.com/kb/828263

ciao

ObiWan [MVP]
2007-02-20 14:14:12 UTC
Permalink
Post by eru
Allora il DNS che uso per risolvere gli indirizzi
internet è installato sull ISA server di front end.
svolge solo funzioni di cache.
si ok.. ma il DNS che sta su ISA usa dei forwarders o no ?
Personalmente *eviterei* l'uso dei forwarders in questo
caso utilizzando i root-hints o addirittura una configurazione
di tipo slave-root
Post by eru
Poi ho 2 DNS interni installati sui controller di dominio autoritativi
per la zona di active directory e che fanno forward ; per il dominio
intranet.local all'ip 10.10.10.10 ed ho fleggato no recursive query
Perchè ??? Se i due DNS sono sui DC di intranet.local e supponendo
(spero che sia così) che "intranet.local" sia una zona Active Directory
NON ha assolutamente ALCUN senso impostare quel forward
Post by eru
(questo è un dns nella nostra lan e mi risolve i nomi di risorse della
nostra intranet) per tutto il resto fanno forward al dns di cui parlavo
prima ed installato sull'isa di front end.
e fin qui andrebbe bene.. tranne quella storia del forward delle richieste
AD che secondo me non ha senso; mi manca un ultimo tassello; i clients
(ed i SERVERS stessi) a quali DNS puntano ?

ciao
Continua a leggere su narkive:
Loading...