Исходное сообщение
"И снова про делегирование зоны..." Отправлено Igor Mitichev, 17-Фев-07 23:23
Вопрос, который не раз обсуждался и в фидо и в интернете, но у меня очередное шаманство возникло. Ситуация до омерзения проста: корпоративная сеть, поключенная к интернету через ADSL. Соответственно, один DNS у провайдера и у него запись A на *.vz111.debryansk.ru указывает на внешний IP модема. Второй DNS внутри корпоративной сети. И тут записи поразнообразнее. И, наконец, третий DNS на виндовом сервере обслуживет зону AD и обеспечивает работу active directory. Конфиг основного внутреннего сервера DNS (почти без сокращений): =================== Цитируется Windows Clipboard =================== // generated by named-bootconf.pl acl vz111 { 192.168/16; 127.0.0.1; }; options {         directory "/var/named";         /*          * If there is a firewall between you and nameservers you want          * to talk to, you might need to uncomment the query-source          * directive below.  Previous versions of BIND always asked          * questions using port 53, but BIND 8.1 uses an unprivileged          * port by default.          */         // query-source address * port 53;    pid-file "named.pid";    allow-query { "vz111"; }; }; // // a caching only nameserver config // //controls { //      inet 127.0.0.1 allow { localhost; } keys { rndckey; }; //}; zone "." IN {         type hint;         file "named.ca"; }; zone "localhost" IN {         type master;         file "localhost.zone";         allow-update { none; }; }; zone "0.0.127.in-addr.arpa" IN {         type master;         file "named.local";         allow-update { none; }; }; zone "vz111.debryansk.ru" IN {         type master;         file "vz111.zone";         allow-update { none; }; }; include "/etc/rndc.key"; =================== Конец цитаты =================== file "vz111.zone" (лишние записи поскипаны): =================== Цитируется Windows Clipboard =================== $TTL    86400 @ IN   SOA vz111.debryansk.ru. root.vz111.debryansk.ru. (                                       0102200705 ; Serial - Порядковый номер                                       28800      ; Refresh - Период обновления                                       14400      ; Retry - Интервал между попытками                                       64800      ; Expire - Период устаревания                                        7200 )    ; Minimum                                    IN   NS  ns ad.vz111.debryansk.ru.             IN   NS  ns.ad.vz111.debryansk.ru.                                    IN   TXT "111 Military Plants, Bryansk, Russia" vz111.debryansk.ru.                IN   MX 0 mail vz111.debryansk.ru.                IN   A   192.168.3.3 news.vz111.debryansk.ru.           IN   A   192.168.9.68 ns.vz111.debryansk.ru.             IN   A   192.168.9.68 ns.ad.vz111.debryansk.ru.          IN   A   192.168.3.4 *.vz111.debryansk.ru.              IN   A   192.168.3.3 =================== Конец цитаты =================== Таким образом я расчитываю, что для разрешения имен в домене ad.vz111.debryansk.ru. запросы клиентов будут перекидываться серверу ns.ad.vz111.debryansk.ru. (192.168.3.4). Однако не тут то было... Эмулируем вход компьютера в домен: [root@news admin]# host -t SRV _ldap._tcp.ad.vz111.debryansk.ru _ldap._tcp.ad.vz111.debryansk.ru SRV 0 100 389 win2003.ad.vz111.debryansk.ru. [root@news admin]# host win2003.ad.vz111.debryansk.ru. win2003.ad.vz111.debryansk.ru has address 84.42.52.64 Запись SRV разрешилась верно, а вот IP-адрес контроллера домена берется не с сервера ns.ad.vz111.debryansk.ru., а с внешнего интернетовского DNS. Хотя, виндовый сервер работает исправно, отдает все как надо: =================== Цитируется Windows Clipboard =================== [root@news admin]# dig win2003.ad.vz111.debryansk.ru. @ns.ad.vz111.debryansk.ru ; <<>> DiG 9.2.1 <<>> win2003.ad.vz111.debryansk.ru. @ns.ad.vz111.debryansk.ru ;; global options:  printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24016 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;win2003.ad.vz111.debryansk.ru. IN      A ;; ANSWER SECTION: win2003.ad.vz111.debryansk.ru. 3600 IN  A       192.168.3.4 ;; Query time: 4 msec ;; SERVER: 192.168.3.4#53(ns.ad.vz111.debryansk.ru) ;; WHEN: Sat Feb 17 14:33:54 2007 ;; MSG SIZE  rcvd: 63 =================== Конец цитаты =================== Что интересно, если перезапустить внутренний DNS, то все начинает какое-то время работать правильно: =================== Цитируется Windows Clipboard =================== [root@news admin]# kill `cat /var/named/named.pid` [root@news admin]# /etc/init.d/named start [root@news admin]# host win2003.ad.vz111.debryansk.ru. win2003.ad.vz111.debryansk.ru has address 192.168.3.4 =================== Конец цитаты =================== но через пару часиков мы начинаем опять устойчиво наблюдать вышеописанный глюк. Главное, не соображу, в какую сторону копать-то... То ли виндовый DNS чудит, то ли линуксовский... Hа всякий случай, карбоню письмо в обе эхи: *   Оpигинал    в ru.linux * Также послано в ru.windows.2003 P.S: Ну вот, пожалуйста. Письмо было написано в GoldEd в 15:50:32. Сейчас, когда я скопировал его в форум opennet 23:20. Ситуация вернулась на круги своя: ============================================== [root@news admin]# host win2003.ad.vz111.debryansk.ru. win2003.ad.vz111.debryansk.ru has address 84.42.52.64 [root@news admin]# kill `cat /var/named/named.pid` [root@news admin]# /etc/init.d/named start [root@news admin]#                                         [  ОК  ] [root@news admin]# host win2003.ad.vz111.debryansk.ru. win2003.ad.vz111.debryansk.ru has address 192.168.3.4 [root@news admin]# ===============================================

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Вопрос, который не раз обсуждался и в фидо и в интернете, но > у меня очередное > шаманство возникло. > Ситуация до омерзения проста: корпоративная сеть, поключенная к интернету через > ADSL. Соответственно, один DNS у провайдера и у него запись A на > *.vz111.debryansk.ru указывает на внешний IP модема. > Второй DNS внутри корпоративной сети. И тут записи поразнообразнее. И, наконец, > третий DNS на виндовом сервере обслуживет зону AD и обеспечивает работу active > directory. > Конфиг основного внутреннего сервера DNS (почти без сокращений): > =================== Цитируется Windows Clipboard =================== > // generated by named-bootconf.pl > acl vz111 { > 192.168/16; 127.0.0.1; > }; > options { > directory "/var/named"; > /* > * If there > is a firewall between you and nameservers you want > * to talk > to, you might need to uncomment the query-source > * directive below. > Previous versions of BIND always asked > * questions using > port 53, but BIND 8.1 uses an unprivileged > * port by > default. > */ > // query-source address * > port 53; > pid-file "named.pid"; > allow-query { "vz111"; }; > }; > // > // a caching only nameserver config > // > //controls { > // inet 127.0.0.1 allow { localhost; } > keys { rndckey; }; > //}; > zone "." IN { > type hint; > file "named.ca"; > }; > zone "localhost" IN { > type master; > file "localhost.zone"; > allow-update { none; }; > }; > zone "0.0.127.in-addr.arpa" IN { > type master; > file "named.local"; > allow-update { none; }; > }; > zone "vz111.debryansk.ru" IN { > type master; > file "vz111.zone"; > allow-update { none; }; > }; > include "/etc/rndc.key"; > =================== Конец цитаты =================== > file "vz111.zone" (лишние записи поскипаны): > =================== Цитируется Windows Clipboard =================== > $TTL 86400 > @ IN SOA vz111.debryansk.ru. root.vz111.debryansk.ru. ( > > > > 0102200705 ; Serial - Порядковый номер > > > > 28800 ; > Refresh - Период обновления > > > > 14400 ; > Retry - Интервал между > попытками > > > > 64800 ; > Expire - Период устаревания > > > > 7200 ) ; > Minimum > > > > IN NS ns > ad.vz111.debryansk.ru. > IN NS ns.ad.vz111.debryansk.ru. > > > > IN TXT "111 Military Plants, Bryansk, > Russia" > vz111.debryansk.ru. > IN MX 0 mail > vz111.debryansk.ru. > IN A 192.168.3.3 > news.vz111.debryansk.ru. IN > A 192.168.9.68 > ns.vz111.debryansk.ru. > IN A 192.168.9.68 > ns.ad.vz111.debryansk.ru. IN > A 192.168.3.4 > *.vz111.debryansk.ru. > IN A 192.168.3.3 > =================== Конец цитаты =================== > Таким образом я расчитываю, что для разрешения имен в домене > ad.vz111.debryansk.ru. запросы клиентов будут перекидываться серверу > ns.ad.vz111.debryansk.ru. (192.168.3.4). Однако не тут то было... > Эмулируем вход компьютера в домен: > [root@news admin]# host -t SRV _ldap._tcp.ad.vz111.debryansk.ru > _ldap._tcp.ad.vz111.debryansk.ru SRV 0 100 389 win2003.ad.vz111.debryansk.ru. > [root@news admin]# host win2003.ad.vz111.debryansk.ru. > win2003.ad.vz111.debryansk.ru has address 84.42.52.64 > Запись SRV разрешилась верно, а вот IP-адрес контроллера домена берется не с > сервера ns.ad.vz111.debryansk.ru., а с внешнего интернетовского DNS. Хотя, > виндовый сервер работает исправно, отдает все как надо: > =================== Цитируется Windows Clipboard =================== > [root@news admin]# dig win2003.ad.vz111.debryansk.ru. @ns.ad.vz111.debryansk.ru > ; <<>> DiG 9.2.1 <<>> win2003.ad.vz111.debryansk.ru. @ns.ad.vz111.debryansk.ru > ;; global options: printcmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24016 > ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, > ADDITIONAL: 0 > ;; QUESTION SECTION: > ;win2003.ad.vz111.debryansk.ru. IN A > ;; ANSWER SECTION: > win2003.ad.vz111.debryansk.ru. 3600 IN A 192.168.3.4 > ;; Query time: 4 msec > ;; SERVER: 192.168.3.4#53(ns.ad.vz111.debryansk.ru) > ;; WHEN: Sat Feb 17 14:33:54 2007 > ;; MSG SIZE rcvd: 63 > =================== Конец цитаты =================== > Что интересно, если перезапустить внутренний DNS, то все начинает какое-то > время работать правильно: > =================== Цитируется Windows Clipboard =================== > [root@news admin]# kill `cat /var/named/named.pid` > [root@news admin]# /etc/init.d/named start > [root@news admin]# host win2003.ad.vz111.debryansk.ru. > win2003.ad.vz111.debryansk.ru has address 192.168.3.4 > =================== Конец цитаты =================== > но через пару часиков мы начинаем опять устойчиво наблюдать вышеописанный глюк. > Главное, не соображу, в какую сторону копать-то... То ли виндовый DNS чудит, > то > ли линуксовский... Hа всякий случай, карбоню письмо в обе эхи: > * Оpигинал в ru.linux > * Также послано в ru.windows.2003 > P.S: Ну вот, пожалуйста. Письмо было написано в GoldEd в 15:50:32. Сейчас, > когда я скопировал его в форум opennet 23:20. Ситуация вернулась на > круги своя: > ============================================== > [root@news admin]# host win2003.ad.vz111.debryansk.ru. > win2003.ad.vz111.debryansk.ru has address 84.42.52.64 > [root@news admin]# kill `cat /var/named/named.pid` > [root@news admin]# /etc/init.d/named start > [root@news admin]# > > > [ ОК > ] > [root@news admin]# host win2003.ad.vz111.debryansk.ru. > win2003.ad.vz111.debryansk.ru has address 192.168.3.4 > [root@news admin]# > ===============================================
	Введите код, изображенный на картинке: