?

Log in

 
 
16 February 2017 @ 03:52 pm
active directory dns and two networks  
Доброго дня. Имеется 2012 R2 домен контроллер. К нему поподсоединено две сети 192.168.0.0/24(офис) и 172.16.0.0/20(vpn). Имеется удаленный клиент в другом офисе, который подключается по vpn и периодически резолвит адрес контроллера домена в ip из подсети офиса. Я так полагаю происходит это потому-что по умолчанию днс сервер использует алгоритм round-robin для резолва хостов с двумя и более ip адресами. Как сделать так чтоб хосты из сети vpn получали от днс именно ip для vpn ?
 
 
 
dadvdadv on February 16th, 2017 01:04 pm (UTC)
Обновиться до Windows Server 2016 Technical Preview, в котором добавили требуемую функциональность :-)

Или поставить в удаленном офисе промежуточный ISC BIND (можно windows-версию) настроить его отдавать правильный IP офисным юзерам. А их машины пусть используют его как DNS-сервер.
pan_2pan_2 on February 16th, 2017 01:22 pm (UTC)
netmask ordering уже давным давно есть
Кузнецов Алексейpuma34 on February 16th, 2017 01:45 pm (UTC)
Вот от этого сенсея ничего кроме как верного ответа и не ожидал. Спасибо, то что нужно
pan_2pan_2 on February 16th, 2017 02:01 pm (UTC)
Там есть нюансы, прочитай blogs.technet.microsoft.com/askpfeplat/2013/02/18/how-netmask-ordering-feature-in-dns-affects-the-resultant-queries/
Кузнецов Алексейpuma34 on February 16th, 2017 02:32 pm (UTC)
Опять в точку, так как у меня одна из сетей /20 и нужно совпадение по октету класса B
Удивительно, но мягкие до сих пор используют концепцию классов подсетей, насколько я знаю в rfc давно упразднили это
karpion on February 16th, 2017 03:46 pm (UTC)
Ну, я так понимаю, из ReverceDNS (резолвинг известного IP-адреса в доменное имя) выпилить классы сетей нереально - на них строится иерархия реверсных зон.
Кузнецов Алексейpuma34 on February 16th, 2017 04:12 pm (UTC)
А мне казалось она там строится на октетах задом-наперед
karpion on February 16th, 2017 04:22 pm (UTC)
Ну так это примерно одно и то же.
dadvdadv on February 16th, 2017 08:57 pm (UTC)
Можно и не по границам октетов.
pan_2pan_2 on February 17th, 2017 09:43 pm (UTC)
Зогадко:
сколько зон нужно для 10.7.220.0/22 ?
dadvdadv on February 18th, 2017 02:51 am (UTC)
/22 это всего-то навсего четыре сетки /24: 10.7.220.0/24, 10.7.221.0/24, 10.7.222.0/24 и 10.7.223.0/24, тут ничего сложного нет.

Интереснее, когда надо делегировать /26.
pan_2pan_2 on February 18th, 2017 10:50 am (UTC)
Ну расписывать было не обязательно, и предполагался ответ что нужно четыре зоны (хотелось бы 1, в некоторых случаях).

Угу. Есть что на этот счёт почитать?
dadvdadv on February 18th, 2017 01:53 pm (UTC)
BCP 20 a.k.a. RFC2317 Classless IN-ADDR.ARPA delegation (1998). В ISC BIND всё что там (в RFC) пространно расписано, делается одной строкой $GENERATE

Реальный пример:

$ host 62.231.189.8
8.189.231.62.in-addr.arpa is an alias for 8.0-63.189.231.62.in-addr.arpa.
8.0-63.189.231.62.in-addr.arpa domain name pointer www.kbb.ru.

Зона 89.231.62.in-addr.arpa. обслуживается провайдером, зона 0-63.189.231.62.in-addr.arpa. делегирована им своему клиенту и рулится клиентом.

Edited at 2017-02-18 01:56 pm (UTC)
pan_2pan_2 on February 18th, 2017 03:36 pm (UTC)
Вспомнил, я это видел - очень, очень давно. Вот для MS DNS, если кому понадобится https://technet.microsoft.com/en-us/library/cc961414.aspx
dadvdadv on February 16th, 2017 08:57 pm (UTC)
Нет. Давным-давно есть стандартный способ делегирования обратных зон не по границе октетов.
pan_2pan_2 on February 16th, 2017 05:57 pm (UTC)
Это в DNS только, тяжкое легаси. В IP стеке ессно давно всё оукей.
dadvdadv on February 16th, 2017 08:58 pm (UTC)
Всё нормально с этим в DNS тоже.
Кузнецов Алексейpuma34 on February 16th, 2017 01:41 pm (UTC)
А как эта функциональность называется? По каким словам гуглить?
dadvdadv on February 16th, 2017 03:01 pm (UTC)
DNS policies is a new feature in the DNS server role of Windows Server 2016 Technical Preview – not to be confused with group policies of the AD fame. You can create DNS policies on the DNS server to control how a DNS Server handles queries based on different parameters. In the previous blog, we discussed how to achieve traffic management using DNS policies. Split brain DNS deployment has been a long standing conundrum for DNS administrators. A DNS deployment is said to be split-brain (or split-horizon) when there are two versions of a single zone, one for the internal users and one for the external users

В терминах ISC BIND это zone views.
Кузнецов Алексейpuma34 on February 16th, 2017 04:13 pm (UTC)
Благодарствую, будет время - обязательно перейду на нее
свинscif_yar on February 16th, 2017 08:19 pm (UTC)
>>Technical Preview
-
а обязательно до превью, в релизе выпилили обратно?
dadvdadv on February 16th, 2017 08:58 pm (UTC)
Был ли релиз, не слежу просто :-)
свинscif_yar on February 17th, 2017 04:16 am (UTC)
Windows Server 2016 was released on September 26, 2016 at Microsoft's Ignite conference[1] and became generally available on October 12, 2016
iamharleyiamharley on February 16th, 2017 01:21 pm (UTC)
Пропиши клиенту адрес КД в hosts. Думаю, адрес контроллера не будет часто меняться.
Кузнецов Алексейpuma34 on February 16th, 2017 01:40 pm (UTC)
Спасибо за совет, но я им не воспользуюсь. Считаю этот метод костылем нежели решением