DNS環境設定！？

luke999

大大好

我想請問我這樣的架構是否有問題

 

我是固定3ip

丟給一個路由器:居易2910

 

然後DHCP網段：192.168.1.1~192.168.1.254

 

我的DNS與MAIL SERVER:192.168.1.5

 

現在的疑問是

MDAEMON預設是127.0.0.1 => 192.168.1.5

 

那對於正解與反解是否有問題

 

因為我看到某一行文字：

 

Sat 2008-02-16 12:06:14: ----------
Sat 2008-02-16 12:06:32: Session 8294; child 1; thread 5116
Sat 2008-02-16 12:06:30: Accepting SMTP connection from [125.115.250.37:2441]
Sat 2008-02-16 12:06:30: --> 220 abc.com ESMTP MDaemon 9.6.0; Sat, 16 Feb 2008 12:06:30 +0800
Sat 2008-02-16 12:06:32: <-- HELO "1.2.3.4"
Sat 2008-02-16 12:06:32: --> 501 This server will not accept forged credentials; you are not "1.2.3.4"
Sat 2008-02-16 12:06:32: SMTP session terminated (Bytes in/out: 21/153)
Sat 2008-02-16 12:06:32: ----------

 

此1.2.3.4為我固定IP，abc.com為我的domain

 

這是怎麼一會事呢？要如何解決呢！？

謝謝

MarchFun

感覺上是 DNS 設定或查詢上有問題。MDaemon 中的 DNS 不要設定自己的，用 168.95.1.1 試看看。

luke999

哈哈 這一點～我也試過了 失敗 的確就如你說想的～如果主dns是自己～～根本跑不出去 所以～我一開始set up時 就用ISP DNS=>168.95.1.1

隨風浮雲

你有向ISP業者申請域名了嗎?
申請域名完成後是否申請正解及反解?
如果你只是內部網路使用，架設的伺服器作業系統為何?該作業系統是否有架設DNS?

luke999

ㄟㄟ當然有申請domain name囉

 

我原本機器是固定ip

 

但考慮到伺服器無法與另外DHCP的用戶端做檔案分享或者其他NAT功能所以，買了居易2910防火牆路由器

 

原本，毫無置疑的，只要將所有服務(WEB、DNS、SERVER)指向單一固定IP，這樣就可以了。(此三個服務都在同一台)

 

現在我的問題在於mdaemon指定的主dns:168.95.1.1與次dns:168.95.192.。

 

查詢我主機非1.2.3.4固定ip 所以囉

 

當然是如此我這一兩天注意到我dns事件簿好像說明我沒有定義此主機的dns

我的主機名稱是server 而對外dns也架設在這一台，對外的dns，應該不可以設定server對應1.2.3.4 那我需要如何動作呢？

還是把主機名稱改成server.domainname.com.tw => 1.2.3.4

這樣嘛？

 

備註：

1.2.3.4 =>實體IP

192.168.1.5=>對內此機器虛擬IP

 

 

[ 本文最後由 luke999 於 2008-2-20 12:22 AM 編輯 ]

隨風浮雲

那就把
192.168.1.1~192.168.1.254
加入到信任的區域就可以了。

luke999

你好～ 我把 192.168.1.1 => gateway 192.168.1.5 => my mail server & dns server 但還是如此

隨風浮雲

我看了好久，才發現你的問題所在： 首先 外部DNS(你跟hinet 申請的正解)會指向HINET給你的三個固定IP。 然後內部要再架設一個DNS，把域名指向內部的IP ，例如 10.1.1.1 或 192.168.1.1， 那麼內部的人收發信時，會從內部的DNS 去找，外部的人收發信時，會從外部去找。

目前我們公司的架構是這樣子的： HINET==>防火牆(固定IP加上DHCP) 假設固定IP爲 168.95.1.100 DHCP 出去的IP為 192.168.1.1.~192.168.1.254 ，然後win 2003 設靜態IP為 192.168.1.100及 10.1.1.1，架設 DNS DHCP NAT MDAEMON 檔案伺服器 列印伺服器…等。然後DHCP 為 10.1.1.2 ~10.1.1.254。 首先開放防火牆相關的port (25 110)指向 168.95.1.100 ，這樣子一來外部收發信，會指向 win 2003 這台主機上，內部網路則靠WIN 2003 上的DNS 解析到 10.1.1.1 這台IP上。

看起來好像很複雜，事實上是我不信任WIN 2003，如果你要單用WIN 2003 做到上述事情，就採用 WIN 2003 第一張網卡設 固三IP的其中一個IP，然後跟HINET 申請正反解，然後WIN 2003 架設DNS DHCP NAT MDAEMON ，DNS 設二個主機名解析，一個是外部IP，一個是內部IP(如果不設內部IP 也是可以正常使用)，DHCP段如果是 10.1.1.1 ~10.1.1.254 ，就把WIN 2003 設靜態IP為 10.1.1.1 ，然後域名指向 10.1.1.1，就可以了。 不懂的地方就再發問吧。



[ 本文最後由 隨風浮雲 於 2008-2-26 07:33 AM 編輯 ]

luke999

ok 我對於「DNS 設二個主機名解析，一個是外部IP，一個是內部IP」有疑問： 假設在dns server設定兩個a record abc.com => 1.2.3.4 =>固定ip abc.com => 192.168.1.5 => 虛擬IP 那外部查詢時 不就暴露自己內部的位置 且搜尋的先後順序 為先跑固定ip？還是虛擬ip? 還是輪流跑？ 或者是只跑單一個？會不會跑錯？ 謝謝

隨風浮雲

基本上不會有太大問題，如果你很擔心外露內部網址，就再架設一個內部專用DNS，就不會有問題了，對了，忘了問你的伺服器是否是2003 ，有沒有使用AD，如果沒有使用AD的話，那內部DNS 就設內部域名及內部IP就可以了，外部的就不用理它。

因為外部DNS查詢，不會先到你們公司的伺服器查詢，大部份的人設DNS主機，一定是設ISP業者所提供的DNS 主機，所以不會查到你內部的IP位址。

除非你要再延伸域名，例如www.company.com.tw mail.company.com.tw 那就在DNS內設內外IP定址。



[ 本文最後由 隨風浮雲 於 2008-2-25 03:44 PM 編輯 ]

luke999

ok 我大概瞭解您的意思了

首先，我原本DNS SERVER =>Simple DNS => http://www.simpledns.com (不是打廣告喔～)

這一個軟體有一個設定～

NAT IP alias conversion

http://www.simpledns.com/features.aspx

這一點～是可以做到「網域名稱綁定實體IP」

但因為我使用WINDOWS2003系統 所以，不用那一套了～

 如果真的不行～～

我想要在改為那一套好了 這樣就不必要設定內外部DNS

 

PS.版大此論壇～直接回覆～～好像文章沒有自動斷行～這一個小問題，麻煩修正～謝謝

隨風浮雲

看你回覆的文章，你好像沒聽懂我的意思： 外部解析你的主域名，是不會先到你的DNS主機進行解析，99.99%的機會是利用ISP業者提供的DNS主機解析。如果你要自行解析次域名，才把次域名的外部IP寫入到你的DNS 主機中。

 內部解析域名，如果使用者是躲在NAT DHCP DNS 伺服主機後面，基本上會先向伺服主機解析，不會一下子就跑到ISP業者的DNS 主機，除非伺服主機無法解析，才會由伺服主機向ISP業者的DNS主機解析得到的答案後，才轉給內部使用者。

我上面所提到要內外IP都設，是因為AD 有所謂的主從，比如我們公司的主AD在新竹，但是台北公司、台南公司、大陸公司的次AD，都要連回到主AD，所以我才說要設內外IP，如果不設的話，當然分公司的次AD，就要向ISP業者再要求解析一次，那就會稍微慢個幾毫秒，如果多人使用下，有可能慢個一秒。

所以如果你不架設AD，或是只有一個AD，那就設內部IP就可以，至於外部IP就在ISP的DNS 伺服器設立就可以了。

目前台灣大部份的ISP業者，都提供正反解功能，唯一沒提供的是MX記錄和DOMAINKEY所以需要的文字記錄，上述這二項就自行架在你的主機上就行了。


[ 本文最後由 隨風浮雲 於 2008-2-25 10:20 PM 編輯 ]

luke999

那也就是說 我在router的預設連線DNS： DNS1:192.168.1.5 => 我的dns DNS2:168.95.1.1 => ISP DNS

隨風浮雲

看來你要趕快去買一本網路的書來看了!

你的預設DNS連線，如果在沒有自行架設DNS伺服器情況下，一定是直接向你的ISP 業者DNS查詢，所以你的內部IP如果是 168.95.1.100=>192.168.1.1 (預設你的ISP 業者是HINET)不會再透過其它路徑查詢。

假設你的ISP 業者是HINET，HINET 提供多個DNS查詢伺服器，你所設的192.168.1.1 只是其中的一個伺服器。

你向HINET 申請的正反解，會把你的域名及IP位置登記在HINET的所有DNS伺服器上，並向全世界的DNS伺服器發佈(如果這些DNS伺服器有向HINET做CACHE的話)，印象中是反過來查詢，例如你登記的是 company.com.tw 會先開始查詢 tw ，然後再查 com，最後查 comapny，所以國內最大的DNS 就是 HINET 了(學校的不算)，所以查到 tw，就往HINET，如果國外的業者沒跟 HINET cache，那信就永遠寄不到你家了。

你自已架的168.95.1.1 區域性伺服器，基本上就你自己用而已，沒人會向你查詢，除非是下列這種情形：
你的域名company.com.tw，然後你只申請這個域名的正反解。
但是你又架設了 www.company.com.tw mail.company.com.tw ftp.company.com.tw
這個時候你就要在 168.95.1.1 上把上述三個域名的IP 做正、反解，別人才有辦法查詢到正確的IP位置。
但是大部份的ISP 業者也提供了多域名正解(反解好像只提供一個)，所以你也可以把上述三個域名直接寫入ISP的DNS伺服器。

如果你是使用固定IP(非撥接取得，撥接取得也是可以，不過設定比較麻煩)，而且沒有躲在防火牆後面，那在NAT DHCP DNS伺服器後面就直接把域名和實體IP寫在一起，WIN2003 很聰明地會把域名和網路卡綁在一起，也就是說無論你電腦上放了幾塊網卡，設定了多少IP，只要有一個正確的IP對應到正確的域名，你的連線就一定會連到這台電腦上，這也就是AD的觀念。

如果是躲在硬體防火牆後面，問題就比較複雜，第一點是防火牆提供了NAT DHCP(當然你也可以關掉，不過關掉後就不知道這個防火牆還能做什麼)，但是沒有提供DNS(有比較高級的防火牆是有提供DNS)，當使用者只從防火牆後方上網，那他就會從ISP業者提供的DNS處得到IP位置，
那就完全連不到你架在防火牆後方的郵件伺服器(除非你的郵件伺服器是用另一個實體IP)。

所以我先前提供的解決方法：目前我們公司的架構是這樣子的： HINET==>硬體防火牆(固定IP加上DHCP) 假設ISP業者提供的固定IP爲 168.95.1.100，硬體防火牆 DHCP 出去的IP為 192.168.1.1.~192.168.1.254 ，然後win 2003 設靜態IP為 192.168.1.100(第一塊網卡)及 10.1.1.1(第二塊網卡)，WIN 2003架設 DNS DHCP NAT MDAEMON 檔案伺服器 列印伺服器…等。然後win 2003 DHCP出去 設為 10.1.1.2 ~10.1.1.254。 然後開放硬體防火牆相關的port (25 110)指向 168.95.1.100 ，這樣子一來外部收發信，硬體防火牆會指向 win 2003 這台主機上，內部網路則靠WIN 2003 上的DNS 則設主機名解析到 10.1.1.1 這台IP上。

以worldclient 為例，會得到下列LOG
Tue 2008-02-26 14:40:14: [1266:1] Session 1266; child 1; thread 3912
Tue 2008-02-26 14:40:14: [1266:1] Accepting SMTP connection from [127.0.0.1 : 2428]
Tue 2008-02-26 14:40:14: [1266:1] --> 220 comapny.com.tw ESMTP MAIL ready
Tue 2008-02-26 14:40:14: [1266:1] <-- EHLO WorldClient
Tue 2008-02-26 14:40:14: [1266:1] --> 250-company.com.tw Hello WorldClient, pleased to meet you
不會有錯誤。

以內部發信為例，會得到下列LOG
Tue 2008-02-26 14:32:21: [1249:1] Session 1249; child 1; thread 1716
Tue 2008-02-26 14:32:18: [1249:1] Accepting SMTP connection from [10.1.1.2 : 4270]
Tue 2008-02-26 14:32:18: [1249:1] --> 220 company.com.tw ESMTP MAIL ready
Tue 2008-02-26 14:32:18: [1249:1] <-- EHLO user
Tue 2008-02-26 14:32:18: [1249:1] --> 250-comapny.com.tw Hello user, pleased to meet you
不會有錯誤。

以外部公司使用者發信為例，會得到下列LOG
Tue 2008-02-26 13:00:58: [1116:1] Session 1116; child 1; thread 180
Tue 2008-02-26 13:00:53: [1116:1] Accepting SMTP connection from [59.127.40.1 : 29034]
Tue 2008-02-26 13:00:53: [1116:1] --> 220 company.com.tw ESMTP MAIL ready
Tue 2008-02-26 13:00:53: [1116:1] <-- HELO user1
Tue 2008-02-26 13:00:53: [1116:1] --> 250 cfwater.com.tw Hello user1, pleased to meet you

因為這是mdaemon版面，所以還是貼上一些log資料，提供給後續來的同學參考。

[ 本文最後由 隨風浮雲 於 2008-2-26 05:10 PM 編輯 ]