先确认我的认知与设定没有错:A. GODADDY的DNS设定可以作为是外部DNS SERVERB. 内部DNS SERVER就是设定DOMAIN NAME => PRIVATE IP使用

针对内部DNS解析的改善有询问GPT,有提供几种处理办法(针对Windows DNS SERVER)

  • Forwarders设定外部DNS IP => 如果电脑介面卡两个DNS设定都是指向内部,这个就没用
  • 检查内部DNS SERVER 的DNS设定 => 检查无误
  • Windows DNS 伺服器负载过高,需要调整快取设定=> ?
  • DNS 记录查询过多,需要限制 Windows DNS 伺服器处理的并发查询数量=> ?

    • 因为那台DNS有兼用DHCP与AD功能,想请问有人会特别设定上述3~4的设定吗?或是有建议?有测试内部NSLOOKUP A.EXAMPLE.COM(子网域) PRIVATE_IP_NAME,真的是会一直找不到,所以内部使用网站会卡。

    1 个回答

    0

    ming9900

    iT邦新手 3 级 ‧ 2025-02-17 12:14:04

    所以,你碰到的问题是:"内部AD 的DNS 反应慢,会慢到查内部 FQDN 都会无?"

    如果是查内网的FQDN,不应该会慢到找不到,但你问题中说: "有测试内部NSLOOKUP A.EXAMPLE.COM(子网域) PRIVATEIPNAME,真的是会一直找不到,所以内部使用网站会卡。"

    所以,我只能先假定你 AD 的反应真的很慢,慢到 DNS 无。
    所以,我建议你可以做以下二个方向的测试,确认一下是否真的是AD 的 DNS 无反应。

    一、Client PC ,开内部网站时,用IP开,交叉验证一下,是不是 by-pass DNS 查询,内部网页反应是OK的。
    如果你的 Web 一定要用 FQDN 才能开,那就在 Client PC ,修改 hosts 档案,把 FQDN IP 直接写在档案内,这样 Client PC 也不会去查DNS,理论上本机纪录,会更快。

    二、因为 AD 一定是DNS,但DNS可以是另一台 Number Server ,如果是因为AD主机反应慢,那就另建一台独立Server ,然后再加入网域,起 DNS服务并注册到 Domain ,并且确认 DNS 有正常同步。
    然后 Client PC 就可以把 DNS IP,指到新的 DNS,并用 nslookup 查一下反应是否OK。新DNS,它只当DNS,如果说还会无反应,那应该就不光是 DNS 的问题了。

    以上二个测试方式你测过后,大约就可确定是否DNS有问题。


    • 8

    看更多先前的...收起先前的...

    好熊宝

    iT邦新手 3 级 ‧
    2025-02-17 13:57:06

    nslookup 会一直连线逾时,但网站FQDN还是上的去。
    于内部使用IP连线正常,于内部使用FQDN连线则会很慢。
    方案二应该不会用且是大工程,意味着所有Client的DNS都要改IP。
    另外补充:A.EXAMPLE使用于DMZ的一台部分对外主机,并使用IIS服务,其主机的DNS为一内一外。

    修改

    DennisLu

    iT邦好手 1 级 ‧
    2025-02-17 14:20:55

    如果你内网IP都是 由DHCP Server发配的,在DHCP上设置 DNS 在client取得 IP的时候,就获取正确的DNS设置了,就不是什么大工程。
    nslookup逾时,那你client端对 Server的DNS查询不就是无效的。

    当你还是可以透过FQDN浏览,此时你的电脑是透过外部IP还是区网IP浏览你的网站?

    有什么理由要将DNS Server服务对外让外面的人访问呢?这容易被攻击。
    若你IIS内外都可访问,公共的Domain应该已经有设定将网站设好可以外网访问了。公共的DNS已经可以解析你的外网访问需求。内部DNS server让外界访问的意思是?

    外网使用者透过公共dns访问,外网访问网站
    内网使用者透过区网DNS Server解区网IP,内部访问才会快,
    都在内网了,使用者还透过外部来访问区网Server就多绕一圈了?

    修改

    好熊宝

    iT邦新手 3 级 ‧
    2025-02-17 15:33:27

    您好,感谢回答。依序回答您的问题,我的理解:
    1.每次买新电脑都会设定电脑指定两个DNS IP,之前有听前辈说两个都要设定,不然会抓到外面DNS,然后AD帐号就会不能登入。
    2.我是哪一点让您觉得有开放内部DNS给外部访问呢?
    3.针对这点,所以有于内部DNS设定A.EXAMPLE=>PRIVATE IP,就是希望内部使用者可以直接走内部,但因为连线状况不佳,才会于此挂问题。

    修改

    ming9900

    iT邦新手 3 级 ‧
    2025-02-17 18:01:25

    用IP开DMZ 的网页OK,但用 FQDN 不行?
    你要不要用改 hosts 的方式,再比对一下结果?

    因为AD 服务如果有问题,那 DNS 无,也是有可能的。
    只是真的有这么忙吗?如果是这样,那就要考虑是否要昇级 OS 或换主机了。

    修改

    DennisLu

    iT邦好手 1 级 ‧
    2025-02-17 22:00:37

    "每次买新电脑都会设定电脑指定两个DNS IP,之前有听前辈说两个都要设定。"
    "nslookup 会一直连线逾时"

    nslookup 使用两个DNS IP查询,逾时就是有问题,去确认DNS Service死活。有时候IT评估 记忆体资源会错估,给太少,当OS记忆体不足,Windows会先kill 前三大记忆体用量大户,DNS可能早就被砍,或其他原因已死很久了。

    有AD的环境,你一定要确认你DNS的是不是活着,前辈说要设定,但没跟你说要确认DNS是否还活着吧? 你都知道nslookup连线逾时,在IT看来是很严重要立刻解决的。看是服务异常还是网路的问题造成的无法nslookup查询。

    "有听前辈说两个都要设定,不然会抓到外面DNS,然后AD帐号就会不能登入。"
    这句话很明显就是,DHCP Server就没有设定你们AD下电脑需要的DNS。
    有可能AD后导入,DHCP已经存在,究竟你们的DHCPServer在哪里,你知道吗? 是网通的DHCP还是Windows Server上的DHCP呢?两者都能控制DNS要发什么在DHCP内一起派给PC端。

    修改

    好熊宝

    iT邦新手 3 级 ‧
    2025-02-18 09:05:49

    DHCP确定与AD同一台且正常发挥。
    恩不好意思,今天测试是对指令有误解,DNS解析是没问题了。
    假如那台DMZ主机是192.168.10.100,
    内部DNS是192.168.1.1
    我指令下成nslookup A.example.com 192.168.10.100了...

    修改

    好熊宝

    iT邦新手 3 级 ‧
    2025-02-18 09:07:50

    言归正传,问题是内部使用FQDN连线会很卡(但可以使用)。
    所以我都请USER内部尽量用PRIVATE IP连线,但FQDN连线问题也是希望能解决。

    修改

    ming9900

    iT邦新手 3 级 ‧
    2025-02-18 11:50:03

    抱歉我今早才看清你已过 DNS 查询是正常的。
    我修改一下建议测试方向:
    1、开Web ,按F12 -> Network ,"Ctrl+F5 "查看一下 各元件跑的时间,尤其看一下 "Status 是否都是 200".
    FQDN &IP 比对一下有没有明显差别,以此也可以判断一下和 FQDN 是否有问题。

    2、在Client PC 上 抓封包,分析一下内容是否有问题
    这个要一点经验,重点也是看 Client 和 Web Server 之间有没有正常,有没有掉包。

    3、先在Client PC ,改 hosts 内容,把 FQDN IP 加上,再开网页看 by-pass DNS 后,是否有改善。
    这是用 本机 hosts 的纪录,让它开 FQDN 时,直接本机,也等于 by-pass DNS,重点也是在佐证是否DNS 会造成 Web 慢。

    最后再确认一下,你所谓的 PRIVATE IP ,就是指在 DMZ 的 Web服务 IP (192.168.10.100),不是其他内部的IP吧!

    修改