DNS環境設定!?
<P>大大好</P><P>我想請問我這樣的架構是否有問題</P>
<P> </P>
<P>我是固定3ip</P>
<P>丟給一個路由器:居易2910</P>
<P> </P>
<P>然後DHCP網段:192.168.1.1~192.168.1.254</P>
<P> </P>
<P>我的DNS與MAIL SERVER:192.168.1.5</P>
<P> </P>
<P>現在的疑問是</P>
<P>MDAEMON預設是127.0.0.1 => 192.168.1.5</P>
<P> </P>
<P>那對於正解與反解是否有問題</P>
<P> </P>
<P>因為我看到某一行文字:</P>
<P> </P>
<P>Sat 2008-02-16 12:06:14: ----------<BR>Sat 2008-02-16 12:06:32: Session 8294; child 1; thread 5116<BR>Sat 2008-02-16 12:06:30: Accepting SMTP connection from <BR>Sat 2008-02-16 12:06:30: --> 220 <FONT color=red>abc.com</FONT> ESMTP MDaemon 9.6.0; Sat, 16 Feb 2008 12:06:30 +0800<BR>Sat 2008-02-16 12:06:32: <-- HELO <FONT color=#ff0000>"1.2.3.4"</FONT><BR>Sat 2008-02-16 12:06:32: --> 501 This server will not accept forged credentials; you are not <FONT color=red>"1.2.3.4"<BR></FONT>Sat 2008-02-16 12:06:32: SMTP session terminated (Bytes in/out: 21/153)<BR>Sat 2008-02-16 12:06:32: ----------<BR></P>
<P> </P>
<P>此<FONT color=red>1.2.3.4</FONT>為我固定IP,<FONT color=red>abc.com</FONT>為我的domain</P>
<P> </P>
<P>這是怎麼一會事呢?要如何解決呢!?</P>
<P>謝謝</P> 感覺上是 DNS 設定或查詢上有問題。MDaemon 中的 DNS 不要設定自己的,用 168.95.1.1 試看看。 哈哈
這一點~我也試過了
失敗
的確就如你說想的~如果主dns是自己~~根本跑不出去
所以~我一開始set up時
就用ISP DNS=>168.95.1.1 你有向ISP業者申請域名了嗎?<br>申請域名完成後是否申請正解及反解?<br>如果你只是內部網路使用,架設的伺服器作業系統為何?該作業系統是否有架設DNS?<br><br> <P>ㄟㄟ當然有申請domain name囉 </P>
<P> </P>
<P>我原本機器是固定ip </P>
<P> </P>
<P>但考慮到伺服器無法與另外DHCP的用戶端做檔案分享或者其他NAT功能所以,買了居易2910防火牆路由器 </P>
<P> </P>
<P>原本,毫無置疑的,只要將所有服務(WEB、DNS、SERVER)指向單一固定IP,這樣就可以了。(此三個服務都在同一台) </P>
<P> </P>
<P>現在我的問題在於mdaemon指定的主dns:168.95.1.1與次dns:168.95.192.。</P>
<P> </P>
<P>查詢我主機非1.2.3.4固定ip 所以囉</P>
<P> </P>
<P>當然是如此我這一兩天注意到我dns事件簿好像說明我沒有定義此主機的dns </P>
<P>我的主機名稱是server 而對外dns也架設在這一台,對外的dns,應該不可以設定server對應1.2.3.4 那我需要如何動作呢? </P>
<P>還是把主機名稱改成server.domainname.com.tw => 1.2.3.4 </P>
<P>這樣嘛?<IMG alt="" src="http://www.suma.tw/forum/images/smilies/default/shy.gif" border=0 smilieid="8"> </P>
<P> </P>
<P>備註:</P>
<P>1.2.3.4 =>實體IP</P>
<P>192.168.1.5=>對內此機器虛擬IP</P>
<P> </P>
<P><IMG alt="" src="http://www.suma.tw/forum/images/smilies/default/sweat.gif" border=0 smilieid="10"> </P>
[ 本文最後由 luke999 於 2008-2-20 12:22 AM 編輯 ] 那就把 <br>192.168.1.1~192.168.1.254<br>加入到信任的區域就可以了。<br> 你好~
我把
192.168.1.1 => gateway
192.168.1.5 => my mail server & dns server
但還是如此 我看了好久,才發現你的問題所在:
首先 外部DNS(你跟hinet 申請的正解)會指向HINET給你的三個固定IP。
然後內部要再架設一個DNS,把域名指向內部的IP ,例如 10.1.1.1 或 192.168.1.1,
那麼內部的人收發信時,會從內部的DNS 去找,外部的人收發信時,會從外部去找。
<br><br>目前我們公司的架構是這樣子的:
HINET==>防火牆(固定IP加上DHCP) 假設固定IP爲 168.95.1.100 DHCP 出去的IP為 192.168.1.1.~192.168.1.254 ,然後win 2003 設靜態IP為 192.168.1.100及 10.1.1.1,架設 DNS DHCP NAT MDAEMON 檔案伺服器 列印伺服器…等。然後DHCP 為 10.1.1.2 ~10.1.1.254。
首先開放防火牆相關的port (25 110)指向 168.95.1.100 ,這樣子一來外部收發信,會指向 win 2003 這台主機上,內部網路則靠WIN 2003 上的DNS 解析到 10.1.1.1 這台IP上。
<br><br>看起來好像很複雜,事實上是我不信任WIN 2003,如果你要單用WIN 2003 做到上述事情,就採用 WIN 2003第一張網卡設 固三IP的其中一個IP,然後跟HINET 申請正反解,然後WIN 2003 架設DNS DHCP NAT MDAEMON ,DNS 設二個主機名解析,一個是外部IP,一個是內部IP(如果不設內部IP 也是可以正常使用),DHCP段如果是 10.1.1.1 ~10.1.1.254 ,就把WIN 2003 設靜態IP為 10.1.1.1 ,然後域名指向 10.1.1.1,就可以了。
不懂的地方就再發問吧。<br><br><br><br>
[ 本文最後由 隨風浮雲 於 2008-2-26 07:33 AM 編輯 ] ok
我對於「DNS 設二個主機名解析,一個是外部IP,一個是內部IP」有疑問:
假設在dns server設定兩個a record
abc.com => 1.2.3.4 =>固定ip
abc.com => 192.168.1.5 => 虛擬IP
那外部查詢時
不就暴露自己內部的位置
且搜尋的先後順序
為先跑固定ip?還是虛擬ip?
還是輪流跑?
或者是只跑單一個?會不會跑錯?
謝謝 基本上不會有太大問題,如果你很擔心外露內部網址,就再架設一個內部專用DNS,就不會有問題了,對了,忘了問你的伺服器是否是2003 ,有沒有使用AD,如果沒有使用AD的話,那內部DNS 就設內部域名及內部IP就可以了,外部的就不用理它。<br><br>因為外部DNS查詢,不會先到你們公司的伺服器查詢,大部份的人設DNS主機,一定是設ISP業者所提供的DNS 主機,所以不會查到你內部的IP位址。<br><br> 除非你要再延伸域名,例如<a href="http://www.company.com.tw" target="_blank">www.company.com.tw</a>mail.company.com.tw 那就在DNS內設內外IP定址。<br><br><br><br>
[ 本文最後由 隨風浮雲 於 2008-2-25 03:44 PM 編輯 ] <P>ok 我大概瞭解您的意思了 </P>
<P>首先,我原本DNS SERVER =>Simple DNS => <A href="http://www.simpledns.com/" target=_blank>http://www.simpledns.com</A> (不是打廣告喔~) </P>
<P>這一個軟體有一個設定~</P>
<P>NAT IP alias conversion </P>
<P><A href="http://www.simpledns.com/features.aspx" target=_blank>http://www.simpledns.com/features.aspx</A> </P>
<P>這一點~是可以做到「網域名稱綁定實體IP」 </P>
<P>但因為我使用WINDOWS2003系統 所以,不用那一套了~</P>
<P> 如果真的不行~~</P>
<P>我想要在改為那一套好了 這樣就不必要設定內外部DNS</P>
<P> </P>
<P>PS.版大此論壇~直接回覆~~好像文章沒有自動斷行~這一個小問題,麻煩修正~謝謝</P> 看你回覆的文章,你好像沒聽懂我的意思:
外部解析你的主域名,是不會先到你的DNS主機進行解析,99.99%的機會是利用ISP業者提供的DNS主機解析。如果你要自行解析次域名,才把次域名的外部IP寫入到你的DNS 主機中。<br><br> 內部解析域名,如果使用者是躲在NAT DHCP DNS 伺服主機後面,基本上會先向伺服主機解析,不會一下子就跑到ISP業者的DNS 主機,除非伺服主機無法解析,才會由伺服主機向ISP業者的DNS主機解析得到的答案後,才轉給內部使用者。<br><br> 我上面所提到要內外IP都設,是因為AD 有所謂的主從,比如我們公司的主AD在新竹,但是台北公司、台南公司、大陸公司的次AD,都要連回到主AD,所以我才說要設內外IP,如果不設的話,當然分公司的次AD,就要向ISP業者再要求解析一次,那就會稍微慢個幾毫秒,如果多人使用下,有可能慢個一秒。
<br><br>所以如果你不架設AD,或是只有一個AD,那就設內部IP就可以,至於外部IP就在ISP的DNS 伺服器設立就可以了。<br><br>目前台灣大部份的ISP業者,都提供正反解功能,唯一沒提供的是MX記錄和DOMAINKEY所以需要的文字記錄,上述這二項就自行架在你的主機上就行了。<br><br><br>
[ 本文最後由 隨風浮雲 於 2008-2-25 10:20 PM 編輯 ] 那也就是說
我在router的預設連線DNS:
DNS1:192.168.1.5 => 我的dns
DNS2:168.95.1.1 => ISP DNS 看來你要趕快去買一本網路的書來看了!<br><br>你的預設DNS連線,如果在沒有自行架設DNS伺服器情況下,一定是直接向你的ISP 業者DNS查詢,所以你的內部IP如果是 168.95.1.100=>192.168.1.1 (預設你的ISP 業者是HINET)不會再透過其它路徑查詢。<br><br>假設你的ISP 業者是HINET,HINET 提供多個DNS查詢伺服器,你所設的192.168.1.1 只是其中的一個伺服器。<br><br>你向HINET 申請的正反解,會把你的域名及IP位置登記在HINET的所有DNS伺服器上,並向全世界的DNS伺服器發佈(如果這些DNS伺服器有向HINET做CACHE的話),印象中是反過來查詢,例如你登記的是 company.com.tw 會先開始查詢 tw ,然後再查 com,最後查 comapny,所以國內最大的DNS 就是 HINET 了(學校的不算),所以查到 tw,就往HINET,如果國外的業者沒跟 HINET cache,那信就永遠寄不到你家了。<br><br>你自已架的168.95.1.1 區域性伺服器,基本上就你自己用而已,沒人會向你查詢,除非是下列這種情形:<br>你的域名company.com.tw,然後你只申請這個域名的正反解。<br>但是你又架設了 www.company.com.twmail.company.com.tw ftp.company.com.tw <br>這個時候你就要在 168.95.1.1 上把上述三個域名的IP 做正、反解,別人才有辦法查詢到正確的IP位置。<br>但是大部份的ISP 業者也提供了多域名正解(反解好像只提供一個),所以你也可以把上述三個域名直接寫入ISP的DNS伺服器。<br><br>如果你是使用固定IP(非撥接取得,撥接取得也是可以,不過設定比較麻煩),而且沒有躲在防火牆後面,那在NAT DHCP DNS伺服器後面就直接把域名和實體IP寫在一起,WIN2003 很聰明地會把域名和網路卡綁在一起,也就是說無論你電腦上放了幾塊網卡,設定了多少IP,只要有一個正確的IP對應到正確的域名,你的連線就一定會連到這台電腦上,這也就是AD的觀念。<br><br>如果是躲在硬體防火牆後面,問題就比較複雜,第一點是防火牆提供了NAT DHCP(當然你也可以關掉,不過關掉後就不知道這個防火牆還能做什麼),但是沒有提供DNS(有比較高級的防火牆是有提供DNS),當使用者只從防火牆後方上網,那他就會從ISP業者提供的DNS處得到IP位置,<br>那就完全連不到你架在防火牆後方的郵件伺服器(除非你的郵件伺服器是用另一個實體IP)。<br><br>所以我先前提供的解決方法:目前我們公司的架構是這樣子的:
HINET==>硬體防火牆(固定IP加上DHCP) 假設ISP業者提供的固定IP爲 168.95.1.100,硬體防火牆 DHCP 出去的IP為
192.168.1.1.~192.168.1.254 ,然後win 2003 設靜態IP為 192.168.1.100(第一塊網卡)及
10.1.1.1(第二塊網卡),WIN 2003架設 DNS DHCP NAT MDAEMON 檔案伺服器 列印伺服器…等。然後win 2003 DHCP出去 設為 10.1.1.2
~10.1.1.254。 然後開放硬體防火牆相關的port (25 110)指向 168.95.1.100 ,這樣子一來外部收發信,硬體防火牆會指向 win 2003
這台主機上,內部網路則靠WIN 2003 上的DNS 則設主機名解析到 10.1.1.1 這台IP上。<br><br>以worldclient 為例,會得到下列LOG<br>Tue 2008-02-26 14:40:14: Session 1266; child 1; thread 3912<br>Tue 2008-02-26 14:40:14: Accepting SMTP connection from <br>Tue 2008-02-26 14:40:14: --> 220 comapny.com.tw ESMTP MAIL ready<br>Tue 2008-02-26 14:40:14: <-- EHLO WorldClient<br>Tue 2008-02-26 14:40:14: --> 250-company.com.tw Hello WorldClient, pleased to meet you<br>不會有錯誤。<br><br>以內部發信為例,會得到下列LOG<br>Tue 2008-02-26 14:32:21: Session 1249; child 1; thread 1716<br>Tue 2008-02-26 14:32:18: Accepting SMTP connection from <br>Tue 2008-02-26 14:32:18: --> 220 company.com.tw ESMTP MAIL ready<br>Tue 2008-02-26 14:32:18: <-- EHLO user<br>Tue 2008-02-26 14:32:18: --> 250-comapny.com.tw Hello user, pleased to meet you<br>不會有錯誤。<br><br>以外部公司使用者發信為例,會得到下列LOG<br>Tue 2008-02-26 13:00:58: Session 1116; child 1; thread 180<br>Tue 2008-02-26 13:00:53: Accepting SMTP connection from <br>Tue 2008-02-26 13:00:53: --> 220 company.com.tw ESMTP MAIL ready<br>Tue 2008-02-26 13:00:53: <-- HELO user1<br>Tue 2008-02-26 13:00:53: --> 250 cfwater.com.tw Hello user1, pleased to meet you<br><br>因為這是mdaemon版面,所以還是貼上一些log資料,提供給後續來的同學參考。<br><br>
[ 本文最後由 隨風浮雲 於 2008-2-26 05:10 PM 編輯 ]
頁:
[1]