[zorp-hu] RE: [zorp-hu] RE: [zorp-hu] Hüje Ekszplorer
Makay Kalman
zorp-hu@lists.balabit.hu
Wed, 15 Dec 2004 11:28:00 +0100
> nem, nem soha! soha, soha, soha ne bízzatok meg egy már
> lerakott Active Directorys, win2000-n működő kiszolgálóban.
> Amint kivettem a játékból és a kliensek direktben a =
tűzfalhoz
> kapcsolódnak, nem pedig a win2k-hoz ami elméletileg routeolja
> a nem található DNS neveket a tűzfal felé - aki pedig enged
> rekurzív stb lekérdezést belülről - akkor megy minden.
> A megoldás: a bind átalakítása olyan módon, hogy minden
> kimegy, kivéve a belső DNS neveket, azokat a kéréseket a
> tűzfal bindja belülről kérdezi le.
Ha akarod cifrazni, akkor engeded a DDNS-t es a windows szerverek-kliensek bergisztraljak a rekordjaikat. Fontos, hogy a bind-od olyan verzioju legyen ami tamogatja az SRV rekordokat. Majdnem ugyanaz mintha forwardolnak a Windows DNS fele a kereseket....talan igy gyorsabb.
> most minden működik. mondjuk nem tudom mitől szállt el, igaz,
> most át lett alakítva a belső tartomány, eddig plusz két =
gép
> volt, akik ki le lettek választva a doménből, most egyedüli a
> szerver, de ttől meg kell zakkania? Valakinek volt ilyen =
tapasztalata?
Sok oka lehet a megzakkanasnak (sok ilyen tapasztalat van). Kerdes, hogy a DNS szerverek hogyan voltak bekonfigolva: forwarder, lokalis interfesz nevfeloldasi sorrendjei stb.......2003 eseteben sok mas beallitas is lehetseges ami keresztbe tehet.
Ha leallitottak a DC-ket es csak 1 DNS szerver lett elerheto a klienseknek akkor elofordulhat, hogy szerencsetlen modon a megmaradt szerver a kliensek fele csak masodlagos DNS szervernek lett megadva (lassabb valaszido, mert az elsovel probalkozik). Ha ugyanez a szerver meg le is van jol terhelve, akkor timeout-hat is a kliensnek...amit adott esetben nslookup alatt veletlenszeruen tudsz csak eszrevenni.
offtopic, de nem tul huzos egy DC-t hasznalni?
Udv.,
Makay Kalman