Как настроить стоящие за роутером адреса контроллера домена, днс-сервера и почтового сервера?

Question

[Fiasco]

Здравствуйте!
Помогите пожалуйста с настройками контроллера домена с ролью DNS сервера и почтового сервера, которые расположены за роутером.

Имеется:
выделенный провайдером белый ip - 213.150.х.х;
внутренняя сеть - 192.168.0.0/24;
роутер mikrotik - 192.168.0.2;
контроллер домена на windows 2012 R2 - 192.168.0.3;
DNS сервер - 192.168.0.3;
вэб-сервер - 192.168.0.3;
почтовый сервер - 192.168.0.17;

Роутер настроен, интернет есть, внутренняя сеть есть, проброшены порты:
tcp и udp 53, tcp 80 на адрес 192.168.0.3;
tcp 25 на 192.168.0.17;

Запутался с настройками DNS сервера, что нужно писать в NS, MX и A записи? Нужно ли в NS запись писать внутренний адрес интерфейса 192.168.0.3 или внешний 213.150.х.х? аналогично с MX записью - писать внешний или внутренний, или и то и то? И в целом как при таком раскладе оборудования настроить сетевые интерфейсы? Писать ли DNS серверы провайдера или своего сервера 192.168.0.3?
Сейчас домен вообще не резолвится из других сетей - ни пинг, ни nslookup не проходят. Из локальной сети все тесты удачны. Онлайн сервисы проверки говорят, что нет NS записи.
Заранее благодарю!

Answer 1

[Gem]

есть дикое подозрение на наличие типичной (грубой) ошибки ms админов, использование имени публичного домена в AD
от днс структуры и зависят настройки
если я верно понял ваш конфиг, со словами "всё работало" то ничего менять не надо
нужно на микротике сделать возвратный dnat
Как сделать проброс портов в Mikrotik при обращении из локалки?
нужно настроить пункты 2 и 3 для обоих адресов (тех трёх портов )- и всё станет как и было
а вообще перечитайте документацию от ms и сделайте правильно
только не нужно допускать две оставшиеся типичные ошибки
1. использование односложного (одноуровневого) имени домена - недопустимо, заставляет днс сервер проверять свою регистрацию на корневых серверах интернета.
Пример неверно - corp, верно - msk.corp
2. использование домена .local или публичных доменов второго уровня .ru .com .org итп
недопустимо по RFC

Comments

[Fiasco]

проблема была в пробросе портов на микротике, но я так и не понял какие адреса нужно писать в ндс записях - серые или белый

[Gem]

В вашей конфигурации должен быть белый.
А по существу нужно разбираться с авторитативным сервером вашей публичной зоны. Вопрос - это действительно контроллер домена или есть реальный дублирующий сервер в интернете?
Если это действительно контроллер - разделить зоны по view, публичную вынести на отдельный сервер, лучше не виндовый, по возможности в DMZ или вообще к хостеру, на белый адрес. Задача номер два - переименование домена, локальная иерархия днс не должна пересекаться с интернетом. Читайте MSDN и RFC и всё поймёте.

[Gem]

так-же рекомендую
RFC 5321 Page 12
2.3.5. Domain Names
The domain name given in the EHLO command MUST be either a primary host
name (a domain name that resolves to an address RR)

доменное имя, указываемое в команде EHLO должно быть основным именем
хоста (именем, преобразуемым в адрес) то есть PTR
PTR = A = MX

Answer 2

[F1RST]

А Вы уверены, что ваш домен поддерживается именно вашим DNS сервером. Обычно этим занимается либо регистратор доменного имени, либо провайдер, либо бесплатные ресурсы. Как только разберетесь куда ссылается Ваш регистратор, сразу поймете где должна крутиться зона. И скорее всего это будет не Ваш внутренний DNS.

Answer 3

[Fiasco]

это все конечно интересно, но скажите пожалуйста, какие адреса писать на днс сервере - внутренние серые или внешний белый? до установки микротика все работало