作者主題: DNS架設於DMZ區的問題 (閱讀 8601 次)

gods7777 · « 於: 2008-11-20 11:47 »

小弟架了一台WINDOWS AD server上面包含DNS及EXCHANGE SERVER 2003，並置放於DMZ區

已申請到一組固定IP及域名，並在DMZ設定好對應IP，電腦名稱取名為AD

現在有一個問題

假如我外部IP為:192.168.1.1

網卡上面的IP為:10.10.10.1

DOMAIN NAME:TEST.COM.TW

以上均為假設

我開了一個ZONE為TEST.COM.TW

並指定名稱伺服器為AD.TEST.COM.TW-192.168.1.1 及TEST.COM.TW-10.10.10.1

新增MX TEST.COM.TW

可是當我使用CLINET PING TEST.COM.TW 卻只出現10.10.10.1

因MAIL SERVER需讓外部USER使用，但是DMZ區的IP，外部的USER是無法使用的

但是如果我將主機(A)改為192.168.1.1，雖然外面PING正常了，但是過一陣子又會改回來

我之後還需要將clinet join domain

請問我的dns zone應該要怎設定才對，試了好幾天了，還是一直有問題

damon · « **回覆 #1 於:** 2008-11-20 11:59 »

改架構吧，現在還沒有上線前，把這種架構改掉
dc , exchange 2003千萬不要裝在同一台
然後如果你要用dmz的話
dc跟client擺在同一個網段，exchange 2003 frontend server擺在dmz，exchange 2003 backend server擺在跟dc同一個網段

蜜蜂 · « **回覆 #2 於:** 2008-11-20 12:06 »

因為 AD DNS server 預設開啟 dynamic update, 所以你的 A record 會一直被改回 10.10.10.1
老實說你把 DC 擺在 DMZ 這種作法不太好. 說穿了只是因為 server 只有一台, 又要當DC又要當Exchange, 只好這樣擺.
解法1:
用兩台 server 吧. 把 DC 擺進 LAN. 另外一部server 當 Exchange Front-End / 外部 DNS server, 擺DMZ.

解法2:
DMZ這台當內部 DNS server. 外部 DNS server 交給 ISP DNS.

建議解法 1.

gods7777 · « **回覆 #3 於:** 2008-11-20 12:07 »

引述: damon 於 2008-11-20 11:59

改架構吧，現在還沒有上線前，把這種架構改掉
dc , exchange 2003千萬不要裝在同一台
然後如果你要用dmz的話
dc跟client擺在同一個網段，exchange 2003 frontend server擺在dmz，exchange 2003 backend server擺在跟dc同一個網段

我是想這樣作，可是在架備用dc時，dcpromo之後，會出現複寫錯誤

看起來應該是dns的問題

damon · « **回覆 #4 於:** 2008-11-20 12:13 »

先在lan端把dc全部都搞定好之後再來談exchange吧，你的dc跟client還有dc之間的複寫問題沒解決之前，不要弄exchange
架構就跟我之前講的那樣，會比較好
lan : dc , client , exchange backend
dmz : exchange frontend
如果沒有版權問題的話，換exchange 2007吧
架構上會比較好
lan : dc , client , exchange mailbox server , exchange hub transport
dmz : exchange edge server , exchange client access

gods7777 · « **回覆 #5 於:** 2008-11-20 13:11 »

引述: damon 於 2008-11-20 12:13

先在lan端把dc全部都搞定好之後再來談exchange吧，你的dc跟client還有dc之間的複寫問題沒解決之前，不要弄exchange
架構就跟我之前講的那樣，會比較好
lan : dc , client , exchange backend
dmz : exchange frontend
如果沒有版權問題的話，換exchange 2007吧
架構上會比較好
lan : dc , client , exchange mailbox server , exchange hub transport
dmz : exchange edge server , exchange client access

exchange沒辦法，我接手前，就已經上線了

只是我後來整個重弄過，所以exchange沒辦法停

停了大概我就死了

只是我最近又架了一台dc起來，dns一直搞不定

弄到我都快死了

dcpromo是成功了，只是之間的複寫一直卡在dns設定，搞不定

我後續應該是會把dc移到lan裡，不過之前mail server掛太大了

等過一陣子，風平浪靜再來搞定

dns只要把動態更新停止就好了嗎，我已經停用了，可是IP還是一直會跳回去

gods7777 · « **回覆 #6 於:** 2008-11-20 13:20 »

事件類型:   警告
事件來源:   NTDS KCC
事件類別目錄:   知識一致性檢查程式
事件識別碼:   1925
日期:      2008/11/20
時間:      下午 01:07:27
使用者:      NT AUTHORITY\ANONYMOUS LOGON
電腦:     ad
描述:
嘗試為以下可寫入的目錄磁碟分割建立複寫連結時失敗。
目錄磁碟分割:
DC=,DC=test com,DC=tw
來源網域控制站:
CN=NTDS Settings,CN=test,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=test,DC=com,DC=tw
來源網域控制站位址:
79b7055a-f236-44d2-a8af-04b308417cf5._msdcs.test.com.tw
站台間傳輸 (如果有的話):

必須先修正此問題，否則這個網域控制站將無法以來源網域控制站進行複寫。

使用者動作
檢查來源網域控制站是否可以存取或網路連線是否可供使用。

其他資料
錯誤值:
1722 無法取得 RPC 伺服器。

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心，以取得其他資訊。

事件類型:   警告
事件來源:   NtFrs
事件類別目錄:   無
事件識別碼:   13508
日期:      2008/11/19
時間:      下午 02:31:14
使用者:      N/A
電腦:   ad01
描述:
檔案複寫服務無法啟動複寫，從 ad 到 ad01 為 d:\windows\sysvol\domain，使用 DNS 名稱 ad.test.com.tw。FRS 將繼續重試。
可能是由下列原因導致。

[1] FRS 無法從這台電腦正確解析 DNS 名稱ad.test.com.tw。
[2] ad.test.com.tw 上並未執行 FRS。
[3] 這個複本在 Active Directory 上的拓樸資訊尚未複寫到所有網域控制站上。

這個事件日誌訊息會在每次連線時出現一次，在問題解決之後，您會看到其他的事件日誌訊息，指出連線已經建立。

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心，以取得其他資訊。
資料:
0000: 0d 00 00 00 ....

目前有的事件

酷!學園

最新消息: