- kaz
- ぬし
- 会議室デビュー日: 2003/11/06
- 投稿数: 5403
|
投稿日時: 2004-05-19 12:58
こんにちわ.
| 引用: |
|
ヨッシーさんの書き込み (2004-05-19 11:51) より:
もしかしたら、現状で2重管理しているかもしれません。なぜ、そんなことを言うかというと、
Active Directoryで構成されているネットワーク(192.168.10.x)とD.M.Z.内のネットワーク(192.168.1.x)のドメイン(xxxx.co.jp)は、一緒なんです。Active Direcory内のClient PCのDNSサフィックスは、xxxx.co.jpとなっております。Active DirectoryのDNSは、D.M.Z.のDNS Serverにフォワードしていません。D.M.Z.内のDNS Serverのゾーンファイルにも当然xxxx.co.jpという名前があります。で、正引きのゾーンファイルがinternal向けとexternal向けの2つあるんです。internal向けのゾーンファイルは、当然のことですがあくまでプライベートIPアドレスのみ許可しています。external向けのゾーンファイルは、特に制限をかけていない通常のものです。ちなみにD.M.Z.内のDNS Serverは、R.H.Linuxです。versionは、2.4.20-8になっております。現状はルーターが2台ありまして、内部側はcoregaのブロードバンドルーターで、外部側はYAMAHAのルーターになっております。
|
たとえば,D.M.Z. 上の DNS Server を ActiveDirectory の 2ndary にすると single point での管理が可能ですね.でも,その場合は内部を sub-domain にするとか,Client の DDNS を抑制するとか,何らかの形で外部への内部情報流出を抑制する手だてが必要になってしまいますけどね.
| 引用: |
|
以前"ping"ができなかった原因がわかりました。ファイアウォールクライアントで構成していたからでした。Secure NATクライアントで構成をしないと"ping"疎通が出来ないと上記のアドレスに明記してありました。外部 --> 内部はできなくても別に問題にはしてなかったんですが、内部 --> 外部はできないとネットワーク障害があったときの切り分けが出来なくなってしまうので、なぜできないのかなと頭を抱えていました。
|
そうですね.お気づきの通り,Firewall Client にしてしまうと「ISA Server と一体化」してしまう(ある意味 application gateway になるかな?)ので,相応の filtering rule を書かなければならなくなりますね.同時に NAT も効かなくなりますね.
| 引用: |
|
この環境におけるテストもほとんど終わりに近づき、あとは、最終的にメールの送受信ができるかどうかというところまで来ました。これもひとえにkazさんのアドバイスがあったからに他なりません。改めて感謝します。また、別な問題があったときは、ぜひこの掲示板を利用させていただきます。
|
あと一歩ですね.ガンバってください.
|
|---|
