精选国内外互联网行业最新文章及报告,让网友获得最新的海内外互联网动态
当前位置:主页 > 新手教程 > 域名问题 >

妙用DNS解析实现防火墙客户的重定向(图)

2015-05-02 10:47 来源:未知 编辑:佚名

        媒介:如今很多公司都应用微软的晃荡目次对收集进行治理,个中内部DNS办事器是弗成或缺的一个构成部分。我们知道,对于ISA的防火墙客户端经由过程ISA拜访收集资本时,其DNS解析由ISA办事器赞助完成,你是否有想过,经由过程的内部DNS办事苹赝防火墙客户端结合,可以或许奇妙的解决很多实际问题。
  
  这篇文┞仿里,我精晓过两个CASE,讲述应用两者浇忧⒛办法解决两个实际问题。
  
  
  问题描述:Contoso公司的收集情况如下图所示: 


  该公司应用ISA 2004作为代劳办事器。
  
  
  公司内部客户机的TCP/IP设备中,将DNS指向内部的DNS办事器,有拜访互联网权限的客户机均应用FWC方法拜访Internet。现公司为了进步拜访OA办事器和邮件办事器的速度,请求客户机经由过程办事器的内部网卡进行拜访邮件办事器和OA办事器。
  
  
  解决筹划:其实解决的筹划有很多,但下面这种最简单的不知道你想到没有:
  
  
  在ISA Server上对*.contoso.com进行Bypass,然后在内部DNS为ftp.contoso.com和www.contoso.com分别新建两条A记载,指向各自的外网IP。
  
  我们以www.contoso.com为例,来推敲一下如今的客户机拜访过程:
  
  1、用户经由过程IE拜访www.contoso.com,经由过程防火墙客户端向ISA Server发送请求,请求进行解析;
  
  2、ISA剖断拜访此web站点不须要经由ISA Server;
  3、客户端向内网DNS萌芽www.contoso.com的地址,内部DNS返回这台办事器的外网IP;
  
  CASE1:
  4、客户端剖断IP地址在外网,向ISA发送拜访此IP的请求;
  
  5、代劳办事器经由过程策略处理,响应请求,连接建立。
  分析存在的问题:OA办事器和邮件办事器数量总和大年夜约在30台,如不雅一台一台在ISA控制台上设置“拜访不经由过程代劳办事器”,工作量较大年夜,且将来添加新办事器时,须要在ISA上添加响应的记载;另一方面,如不雅在ISA上直接设置Bypass *.contoso.com,那么会造成安装有防火墙客户端用户无法拜访ftp.contoso.com和www.contoso.com(因为这几台Server没有内网卡)。
  
  正如上述过程所描述的,防火墙客户端模式的客户机经由过程应用内部DNS办事器的解析,实现了对外部资本的拜访。
  声明:这两个CASE都是我近期碰到的问题,个中解决第一个CASE的是我的一个同事,他为我供给了一种新的思路;第二个CASE则是我沿用这种思路,解决新的问题。
  
  请细心领会一下个中的过程,然后接着看CASE2。
  
  CASE2:
  
  
  两家公司的收集构造图简单表示如下所示:


  BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件,应用Outlook Express收发邮件,且总部指定其应用的POP3办事器为POP3.contoso.com,SMTP办事器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司应用。
  
  某日,Contoso通知BlueEye其SMTP.contoso.com忽然Down机,正在进行抢修,请求BlueEye的IT部分通知BlueEye的内部用户(1000多人)更改OE的设置,应用SMTP2.contoso.com作为临时的SMTP办事器。
  背景描述:BlueEye公司位于上海,是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后,未对BlueEye的AD架构进行更改,而保持了其原有的内部DNS名:BlueEye.com,只是将其电子邮件名同一为Contoso.com,且请求其经由过程应用总部的邮件办事器进行邮件的发送与接收,便于邮件的监控。
  
  分析:如不雅通知所有效户修改OE设置,等本来的SMTP办事器修复后还须要再更改回来,必定会造采取户的不满;同时,总部的 SMTP2.contoso.com办事器供另一家分公司应用,临时不会推敲去ISP的DNS注册别号。那么若何才能够快速解决此问题呢?
  
  
  解决筹划:如不雅你看过CASE1,应当会有一个思路:能不克不及让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP,然后再向ISA发送拜访请求呢?
  
  天然是可以的,办法如下:
  
  (1)在BlueEye.com的内部DNS上新建一个主区域(不须要选择与AD集成),定名为contoso.com
  公司内部收集采取单林荡竽暌跪模式,内部DNS名为contoso.com,在Internet上注册的域名亦为contoso.com。公司有50多台办事器,包含邮件办事器、数据库办事器、OA办事器、FTP办事器与Web办事器等,个中邮件办事器、OA办事器均为双网卡,而FTP办事器与Web办事器均只有外网卡,数据库办事器只有内网卡。有外网卡的办事器均直接与外线交换机相连,且在Internet上注册有合法的DNS名。
  



  
 



  (2)在contoso.com中新建一条A记载,将SMTP.contoso.com指向61.0.0.2


  (3)在ISA Server上中将SMTP.contoso.com添加到标签Domains中;


  (4)客户机刷新防火墙策略后,即可成功接收和发送邮件。待smtp办事器修复后,删除所作的更改即可恢答复复惺攀来的状况,而不须要在客户端进行任何的修改。
  
  上述两个CASE,没有效到什么精深的常识,只是经由过程思路的改变,就解决了两个比较棘手的问题。欲望这篇文┞仿可以或许给你供给一种新的解决问题的思路。



标签
你喜欢的文章
返回首页
扫描微信
返回顶部