What we want to set up
To specify the task more precisely. We have a service that is accessible from the internet, theoretically it doesn't matter whether it's a service provided by us or by someone else. This service has a domain name and an IP address assigned to it on the public DNS server of the given company (even if it were our service, I assume that the internal DNS server is always separated from the external - public one). When a client wants to access this service from anywhere, the DNS query reaches this internet DNS server and returns the IP address as a response.
And we want to ensure that in the case of such a query inside our company, when the query is directed to our internal DNS, a different response comes. That is, our DNS server directly responds and does not forward the query further.
Why we want to set it up
From "practical" examples, I will mention two (I leave their practicality to you). In the DMZ zone, we have a company web server placed, which our employees often access. On our public DNS server, we have some publicly published address for the address www.company.com, which is located on our external firewall. And we want our employees inside the company not to access it as if from outside, i.e., through the external FW, but directly to the address in the DMZ.
The second example concerns a simple security function. In the company, we want to prohibit the use of some public service, for example, some instant messaging. So we set up the DNS server to translate its name to some non-existent address (e.g., 127.0.0.1). Of course, this can be bypassed by entering the IP address directly.
How we set it up
When we start thinking about how we could achieve our task. So first, we will probably look at the forward lookup zones that we have on the internal DNS server. Here we probably won't find the public one, and it's not possible to enter a domain name from another domain into the internal zone. The DNS server creates a cache, where it stores already translated names for faster response. Here we could insert our IP address, but that is only a temporary solution.
The correct solution is, as it often is, very simple, but it may not immediately occur to a person. It is about creating a new primary forward lookup zone for the given domain name on the internal DNS server, for example, www.company.com (not for the entire domain company.com) and setting an A record for it to the desired IP address. When the client then asks for the address, our server owns this zone, so it responds with its address, but it does not own the other addresses from the given domain, so it forwards the query further.
Podobne nastaveni se da pouzit primo na PC v souboru HOSTS. Je to takove mini DNS kazdeho pocitace a lze i existujici servery presmerovat na uplne jinou stranku. ;-)
respond to [1]Unreal][: Ano, ale těžko budu něco takového nastavovat pro 1000 PC, i když to mohu automatizovat, tak to není příliš systémové řešení.
Dobrý den,
jak se to ve vlastním PC provede?
respond to [3]Petr: Pro Windows - stačí editovat soubor c:WINDOWSsystem32driversetchosts, příklady jsou uvedeny v souboru. Při nslookup má tento soubor přednost před DNS serverem.
Také používám HOSTS, ale jen z nouze, protože Kerio (- umí s HOSTS zacházet jako s DNS) mi běží na XP a ty DNS nemají (původně W2000serv - tam byla DNS). Veřejné DNS jedou na jiném serveru a přes Kerio jsou propagovány ven a na secDNS k providerovi. Není to asi nejčistší řešení, ale běží to už několik let bez kolizí.
respond to [1]Unreal][: Ano, ale pokud třeba na notebboku nastavuji v mailovém klientu název mailového serveru, potřebuji vždy dostat příslušnou IP adresu v závislosti na tom, zda jsem připojen v lokální síti nebo zda jsem připojen přímo do Internetu např. pomocí domácího připojení k Intrnetu nebo pomocí např. 4G karty
ad "ale ostatní adresy z dané domény nevlastní, takže dotaz přeposílá dál.")
Hu, vazne to takhle funguje? :-O AFAIK kdyz na Win tu zonu vyrobim, tak je pro ni "autoritativni" a tudiz kdyz zaznam nemaj, nesnazi se ho resolvovat rekurzi/forwaderem dal...
P.S. - overeno ted na nasem 2008 DC :)
respond to [7]tata_tulen: Jenže já vyrábím zónu přímo pro tu adresu (vlastně pro ten Ačkový záznam) a ne pro celou doménu, takže tam žádné další záznamy neexistují, takže se správně přeposílají dále :-).
respond to [8]Samuraj: nojo, ale ja vidim zonu www.firma.cz - ze je v ni jen jeden zaznam je irelevantni... A nebo tomu nerozumim (nevim co je "zona jen pro jednu adresu" :-)
respond to [9]tata_tulen: No přeci základní fungování DNS. Když vyrobím zónu firma.cz, tak v ní se hledají záznamy *.firma.cz. Tam se nachází i www.firma.cz. Pokud vyrobím zónu www.firma.cz, tak mi přeloží www.firma.cz a potom *.www.firma.cz. Ale domény 4-tého řádu nepoužívám, takže mi to nevadí. Kdežto všechny další záznamy *.firma.cz jsou pořád směrovány na tu první zónu.
respond to [10]Samuraj: Aha, uz mi to cvaklo, dneska si sedim na vedeni, sorry ;-)
Zaměstnanci i přes zákaz používají Skype či ICQ. Šlo bz jim to zatrhnout tímto způsobem? Děkuji za radu.
Ahoj všem,
mám dotaz mám interní sit v doméně.Např:hobit.cz ale mám taky na externím hostingu web www.hobit.cz.Bohužel se mně pořád zobrazuje v interní sítí když zadám www.hobit.cz ISS.V interní DNS mám nastavené : Nastavil jsem Zona dopředného - Primární + uložit zony do adresáře AD ,na všechny servery v této doméně hobit.cz,a název zony jsem dal www.hobit.cz + povolit je dynamické zabezpečené aktualizace.Po vytvoření zony jsem zadal externí IP a A záznam a pořád mně zobrazuje ISS.Dík za pomoc