Почему DNS выбирает не тот IP?

Question

[Иван]

Добрый день.

Есть DNS сервер, на нём прописаны две A записи для сервера SERVER1 - 192.168.1.10 и 10.0.0.10

Есть клиентский компьютер в сети 192.168.1.0/24, получает ip по DHCP.

Почему то иногда выбирает DNS запись из другой сети, 10.0.0.10, которая ему недоступна. Насколько я знаю, должен выбирать из той подсети, в которой он находится, или я не прав?

Answer 1

[Сергей Галактионов]

Коллеги, курите мануалы про DNS Round Robin и Netmask Ordering

Comments

[Иван]

Round robin понятно, точно, про netmask ordering я забыл.

"В настройках сервера DNS по умолчанию включена и опция Enable netmask ordering. Смысл опции заключаются в том, что при наличии нескольких IP адресов для одного и того же имени хоста сервер DNS анализирует из какой сети пришел запрос от клиента. Если IP сеть клиента совпадает с номером сети одного из IP адресов хоста, то такой IP всегда возвращается первым"

[rino906]

ну тогда и Split-Brain DNS для кучи, если вдруг клиентских сетей будет больше одной или захочется убрать интерфейс DNS сервера из клиентской сети

Answer 2

[Максим Забелин]

А зачем вы через DHCP отдаете недоступный из этой сети DNS? ССЗБ.

Comments

[Иван]

У DNS два интерфейса для двух сетей - 10-й и 192-й. Серверная подсеть 10-я пользовательская 192-я

[Максим Забелин]

НУ и вот зачем вы клиенту отдаете DNS из серверной сети куда у нет доступа? Уберите его из DHCP и будет вам счастье

[Иван]

Максим Забелин: DNS он один, но с двумя сетевухами - одна смотрит в серверную подсеть, а другая в пользовательскую.

[Максим Забелин]

Во-первых, DHCP на mutihomed серверах - нерекомендованая вендором конфигурация, но это не существенно. Во-вторых, услышьте меня: вы в параметрах DHCP отдаете клиенту адрес DNS сервера из серверной сети. Зачем?

[Иван]

Максим Забелин: Вы ошибаетесь, клиенту отдаётся IP адрес из его подсети. Как я уже написал несколько раз, у DNS два интерфейса, один из пользовательской сети 192, а второй для серверной подсети. Соответственно при запросе сервера получают первыми IP из своей подстети, а пользователи из своей.

[Максим Забелин]

"...Есть клиентский компьютер в сети 192.168.1.0/24, получает ip по DHCP.
Почему то иногда выбирает DNS запись из другой сети, 10.0.0.10, которая ему недоступна..."

Вы упорно не хотите слышать, что вам говорят. У вас клиент получает DNS 10.0.0.10 от DHCP. Это значит что вы в параметрах DHCP этот адрес передаете. Если 10.0.0.10 недоступен клиенту - то не надо этого делать.

[Иван]

Максим Забелин: Нет, по DHCP он получает IP адрес DNS сервера 192.168.0.10. Также у DNS сервера есть второй интерфейс 10.0.0.10, его никто по DHCP не получает, эти настройки прописаны ручками на серверах. А вот на самом DNS, в зоне firma.local для серверов прописаны две A записи - из 10-й и из 192-й сети. При запросе сервера SERVER1 DNS выдаёт две записи - но в зависимости от запроса (из какой сети пришёл запрос) Выдаёт первым тот адрес, из которой пришёл запрос.

Answer 3

[Alexander Lebedev]

нет, вы не правы.
Например, Microsoft DNS при первом обращении отдаст клиенту обе записи, клиент должен будет выбрать первую и работать с ней, а вот при повторном обращении DNS уже отдаст клиенту вторую запись.
Поведение других DNS серверов (например -- Bind) может отличаться.
В любом случае, на клиентский IP DNS смотреть не будет.

Comments

[Alexander Lebedev]

SyavaSyava: https://support.microsoft.com/en-us/kb/168321
NOTE: The Microsoft DNS Server supports round robin, which is a technique used as a form of load balancing between servers (to get more information about this feature, refer to RFC 1794). This feature will make DNS send both IP addresses when a query is received for myserver.mydomain.com. The client (or Resolver) will always use the first one. The next time DNS receives a query for this name the order of the list of IP addresses is changed in a round robin fashion (the address that was first in the previous list will be last in the new list). Round Robin of Cname records is not supported because there should be only one canonical name for any one alias.

[Иван]

SyavaSyava: Рандом, да. Но если включен Netmask Ordering, то первой выдаст запись из подсети клиента.

Answer 4

[Lindon_cano]

Вы неправильно знаете. DNS рандомно отдает одну из записей, если у вас для имени две Aшки и он вам ничего не должен более, DNS не знает как у вас в сети настроена маршрутизация.

Comments

[Иван]

Рандомно да, но так как у DNS два интерфейса, для двух подстетей, то ПЕРВОЙ он отдаёт ту запись ,откуда пришёл запрос. Это я сейчас смотрю по серверам.

Answer 5

[Юрий Чудновский]

sshd.su/pages/viewpage.action?pageId=5210143

Comments

[Иван]

У меня windows DNS)

[Юрий Чудновский]

Иван: 'это, конечно, проблема :)

Answer 6

[Владимир]

Клиентский компьютер на то и клиентский, что он ничего не выбирает, а пользуется тем, что ему дают.

В каком месте определено, что клиентский компьютер не должен видеть подсеть 10.0.0.0 ? Если два компьютера подключить к одному интерфейсу и они получат IP из подсети 10.0.0.0 то они вполне будут видеть друг друга.

Сначала подумайте над конфигурацией сети и формализуйте правила "другая сеть, которая ему недоступна.", потом задайте правильные вопросы здесь, потом нормально настройте DHCP и будет счастье

Comments

[Иван]

Надо сделать так, что бы один DNS обслуживал две сети, ниже я описал причину, должно работать так, всё правильно.

[Владимир]

Иван: Каюсь, я немного неверно истолковал вопрос.

Answer 7

[Иван]

Если запрос идёт из 10-й сети (у сервера DNS два интерфейса) то первый отдаёт 10-й IP, а если запрос из 192-й то первый соотвественно из 192.

Кажется я понял, если по какой то причине не достучался на первый IP - юзает второй, и из за этого траблы.
При бесперебойной работа данная схема должна нормально работать.

Comments

[Владимир]

Разделите конфигурации, так чтобы во вторую подсеть первый IP не отдавался в принципе.

[Иван]

Владимир: Надо подумать, как это сделать. В принципе, данная схема работает не первый год, но очень редко возникают подобные траблы, вот решил заняться выяснением причины.