Архив форумов ЦИТФорума

[Arkov]

имеем локальный домен AD на Windows 2003 контроллерах, в режиме работы Windows 2000 native,
ну и естественно имеем локальный DNS сервер..........
проблема - DNS генерирует постоянный траффик наружу на интернетовские айпишники (это айпишники нашего прова и айпишники рутовых ДНС серверов) по 53 порту...
я уже удалил все рутовые интернет-ДНС сервера из настроек, а в Forwarders в ДНС стоят только сервера дочерних доменов моей организации.......

[a-m-d]

А-га, а-га...

Рекурсию выключи.

Свойства DNS-сервера, Advanced...
_________________
Век живи - век учись!.. Дураком помрёшь.

[Arkov]

щаз сразу не смогу проверить, результат сообщу позже,
а нельзя ли обьяснить в двух трёх словах почему именно эти настройки нужно изменить, или ткните в доку.......

[a-m-d]

Результат, пожалуйста, сообщи. Мне интересно тоже.

В двух-трех словах в доку ткнуть?.. Увы...
Сам на такое напоролся, хорошо tcpdump на шлюзе примерно в это же время посмотрел. Это меня и спасло. Минут за пятнадцать весьма приличное к-во трафика через него к "корням" пролетело. И ответов ессно. Прошерстил разные форумы в поисках аналогичной проблемы. Проблема встречается, но нечасто. Ясности не получил. Похоже, что DNS в чем-то недокофигурен. На настоящий момент локальный DNS-сервер воистину локальный. Наружу не выпускается шлюзом, но после отключения рекурсии, собственно, и не просится туда. Для пользователей инета - кэширующий DNS на шлюзе.
Неспешно ищу, где накосячил.
_________________
Век живи - век учись!.. Дураком помрёшь.

[4u3u]

Вы с основами DNS знакомы? Рекурсивные запросы делаются для получения авторитативного атвета, то есть ответа от одного из серверов, держащих зону. На рекурсивный запрос к форвардеру приходит ссылка на другой сервер, к которому делается следующий запрос и так пока не будет определен авторитативный сервер. Поэтому сервер и стучится постоянно на разные адреса. Это ж основы. Щас попробую поясняющую картинку найти...

[4u3u]

Вот эта пойдет:

[Arkov]

проблема решилась именно таким способом как советовали, благодарю за консультацию........

небольшой комментарий -

На вкладочке Forwarders в свойствах DNS у меня в окне DNS Domains стояло просто All Other Domains и были ручками вбиты айпи моих ДНС локальных и рекурсия была включена, после включения пункта Disable recursion траффик в инет прекратился, но (!!)
т.к. у меня есть родительский и дочерние домены и в каждом дочеренем домене работает свой локальный ДНС то мне необходимо иметь в списке Forwarders на каждом ДНС сервере (в каждом домене) ссылки на другие ДНС в моих доменах (чтобы нормально работал nslookup для всех доменов), а при включении пукта Disable recursion в свойствах сервера (на вкладочке Advanced) так же становятся недоступны все Forwarders.

так вот я просто добавил в DNS Domains мои домены и для каждого прописал его ДНС сервер и для каждого домена отключил рекурсию персонально..........

вроде всё работает..............

[a-m-d]

4u3u: Thnx

У меня пронбленма в том, что сначала был зарегистрирован интернет домен. Сайт хостится у провайдера и он же облуживает DNS. И на настоящий момент он дает авторитативные ответы об этом домене.

Затем был создан (проапгрейжен с соответствующими изменениями с NT4) одноименный домен AD с локальным DNS.

Затем, (хотелось сделать грамотнее, а получилось как иногда) для локалки попробовал такую схему:

Все клиентские запросы ДНС -> локальный DNS форвардит запросы для не своей зоны-> DNS на шлюзе с зоной для инета-> сервера провайдера.
И вот тут Остапа понесло.

Далее уже описано.
Уже давно в планах перетянуть одеяло DNS на себя. Поскольку полностью хочу от провайдера в этом обособиться, надо два DNS в разных подсетях. Так? Так. Вторая подведомственная мне подсеть появилась сравнительно недавно.

Народ, учитесь на чужих ошибках.
_________________
Век живи - век учись!.. Дураком помрёшь.