- PR -

ISA ServerにおけるDNSの設定について

投稿者投稿内容
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-05-11 17:09
こんにちは。

ISA Serverを2台構成とし、DMZの中にDNS/Web Serverを置き、内部にはClient PCと内部DNS(Active Directory)の試行環境があります。

今現在Client PCおよび内部DNS、さらにDMZのDNS/Web ServerからInternetはできます。
それぞれのネットワークの設定でDNSは、下記に向けられています。
Client PC:192.168.10.2(内部DNS)
内部DNS:192.168.10.2(内部DNS)
ISA Server@:192.168.1.6(DNS/Web Server)
DNS/Web Server:192.168.1.6(DNS/Web Server)
ISA ServerA:61.xxx.xxx.97(プロバイダのプライマリDNS),61.xxx.xxx.1(プロバイダのセカンダリDNS)

そして、すべての端末でIPアドレスでのDNS/Web ServerのWeb閲覧が可能となっております。ドメイン名では表示されません。ただし、DNS/Web Server自身は、localhostやドメイン名にしても表示可能です。ISA Server@に関してもドメイン名での表示が可能です。この2つ以外の端末ではドメイン名でDMZのDNS/Web ServerのWeb閲覧ができません。
ドメイン名で表示させようとすると、下記のようなエラーメッセージが出ます。

Web サイトが見つかりません
識別情報の構成が原因で、指定された Web サイトが利用できません。
--------------------------------------------------------------------------------

次のことを試してください:

[最新の情報に更新] をクリックするか、後でもう一度やり直す。

アドレス バーにページのアドレスを入力した場合は、入力した情報が正しいかどうかを確認してください。

[戻る] をクリックして、別のリンクを試す。
11001 - ホストが見つかりません
Internet Security and Acceleration Server

--------------------------------------------------------------------------------

テクニカル情報 (サポート用)

バックグラウンド情報:
このエラーは、アクセスしようとしている Web サイトの IP アドレスをゲートウェイが見つけられないときに発生します。

ISA Server: firewall2
Via: 1.1 FIREWALL1

Time: 2004/05/11 7:20:47 GMT

また、外部からドメイン名で表示させようとすると、「www.xxx.comが見つかりません」とエラーが出てしまいます。どなたかご教授ください。よろしくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-11 17:34
こんにちわ.
引用:

ヨッシーさんの書き込み (2004-05-11 17:09) より:
こんにちは。

ISA Serverを2台構成とし、DMZの中にDNS/Web Serverを置き、内部にはClient PCと内部DNS(Active Directory)の試行環境があります。


それぞれの ISA Server の install mode は以前のご質問の際と同じでしょうか?であれば,外側が統合で内側が Firewall mode でしたよね?外側はやはり透過 proxy でしょうか?

引用:

Web サイトが見つかりません
識別情報の構成が原因で、指定された Web サイトが利用できません。
--------------------------------------------------------------------------------

次のことを試してください:

[最新の情報に更新] をクリックするか、後でもう一度やり直す。

アドレス バーにページのアドレスを入力した場合は、入力した情報が正しいかどうかを確認してください。

[戻る] をクリックして、別のリンクを試す。
11001 - ホストが見つかりません
Internet Security and Acceleration Server

--------------------------------------------------------------------------------

テクニカル情報 (サポート用)

バックグラウンド情報:
このエラーは、アクセスしようとしている Web サイトの IP アドレスをゲートウェイが見つけられないときに発生します。

ISA Server: firewall2
Via: 1.1 FIREWALL1

Time: 2004/05/11 7:20:47 GMT


名前解決ができないということでは?外側 ISA Server 上で名前解決はできていますでしょうか?内部 DNS Server は D.M.Z. 上の DNS Server に forward されています?
Client PC が 外側 ISA Server の proxy を利用していれば,「ISA Server での名前解決ができない」 => 「Client PC の WWW Browser で URL を解決できない」となると思います.

引用:

また、外部からドメイン名で表示させようとすると、「www.xxx.comが見つかりません」とエラーが出てしまいます。どなたかご教授ください。よろしくお願いします。


「Internet 側から D.M.Z. 上の WWW Server を見た場合」ということでしょうか?その場合,WWW Server の公開ルールは作られていますか?あるいは「名前解決ができない」ということですか?その場合は,WWW Server と同様に DNS Server を Internet へ公開する必要があります.

以上,ご確認ください.
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-05-11 18:58
kazさん、こんばんは。
引用:

kazさんの書き込み (2004-05-11 17:34) より:
こんにちわ.

それぞれの ISA Server の install mode は以前のご質問の際と同じでしょうか?であれば,外側が統合で内側が Firewall mode でしたよね?外側はやはり透過 proxy でしょうか?


同じですが、外側がFirewall modeで、内側が統合です。透過proxyって?
引用:

名前解決ができないということでは?外側 ISA Server 上で名前解決はできていますでしょうか?


外側 ISA Server 上で名前解決はできています。プロバイダからもらっている61.xxx.xxx.97のアドレスにてInternet上のアドレスについては、問題なく名前解決できます。ただし、DMZ上のWeb Serverのみ名前解決は出来ません。
引用:

内部 DNS Server は D.M.Z. 上の DNS Server に forward されています?


もちろんです。
引用:

「Internet 側から D.M.Z. 上の WWW Server を見た場合」ということでしょうか?


そうです。
引用:

その場合,WWW Server の公開ルールは作られていますか?あるいは「名前解決ができない」ということですか?その場合は,WWW Server と同様に DNS Server を Internet へ公開する必要があります.

以上,ご確認ください.



WWW Serverの公開ルールは作られていますが、DNS Serverを公開するルールは作られていません。この辺りが原因になるんでしょうか?
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-05-13 19:54
こんばんは。

ふとした疑問です。ISA Serverってルーターとしての機能も持っているはずなんですが、192.168.10.0というネットワークから192.168.1.0というネットワークへ「ping」を打っても
Reply from〜が返ってこないのって関係あるんでしょうか?ちなみにエラーメッセージは、
「Request timed out.」になります。(Client PCからインターネットは出来るんですけどね。)「ping」で確認できるのは、ISA ServerのNIC上までです。その先は、必ず「Request timed out.」になります。

何故でしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-14 01:49
こんばんわ.
引用:

ヨッシーさんの書き込み (2004-05-11 18:58) より:

引用:

kazさんの書き込み (2004-05-11 17:34) より:

それぞれの ISA Server の install mode は以前のご質問の際と同じでしょうか?であれば,外側が統合で内側が Firewall mode でしたよね?外側はやはり透過 proxy でしょうか?


同じですが、外側がFirewall modeで、内側が統合です。透過proxyって?


失礼しました.
一般的に,proxy を使う場合は www browser に proxy の設定をして,www browser が www server を参照する際に proxy へ代行を依頼するようにします.が,この設定をしないで,proxy 側で tcp:80 で www browser が www server へ接続しに行こうとしているのを横取りして,知らないうちに proxy を使わせるものを「透過 proxy」と呼びます.

引用:

外側 ISA Server 上で名前解決はできています。プロバイダからもらっている61.xxx.xxx.97のアドレスにてInternet上のアドレスについては、問題なく名前解決できます。ただし、DMZ上のWeb Serverのみ名前解決は出来ません。


ということは,D.M.Z. 上の www server は provider の DNS server に登録されていないのですよね?その場合,外部から参照できないと思いますが...
引用:

引用:

その場合,WWW Server の公開ルールは作られていますか?あるいは「名前解決ができない」ということですか?その場合は,WWW Server と同様に DNS Server を Internet へ公開する必要があります.


WWW Serverの公開ルールは作られていますが、DNS Serverを公開するルールは作られていません。この辺りが原因になるんでしょうか?


その前に,DNS の domain はお持ちなのでしょうか?
大変失礼な質問なのかもしれませんがお許しください.DNS と Web が Internet 上でどのような仕組みで連動しているかはご理解されています?
D.M.Z. の DNS server を公開しても,Internet 側から見に来なければ意味がありません.つまり,DNS の domain zone を取得して,「この domain zone の管理をしているのはこの DNS server です」といった「宣言」が必要になります.この辺は JPNIC に登録したり,domain だけ取得して DDNS を利用したり,いろいろ方法はありますが,要するに Internet から D.M.Z. の www server を見るためには Internet からみえる場所にある DNS server で名前解決する必要があり,さらにその DNS server は「ここにあります」と Internet 上に公開する必要があるということです.

この辺をご存知なのであれば大変失礼な話ですのでお詫びいたします.

ちなみに,内部 DNS の zone と D.M.Z. の DNS の zone は同じだったりします?

引用:

ふとした疑問です。ISA Serverってルーターとしての機能も持っているはずなんですが、192.168.10.0というネットワークから192.168.1.0というネットワークへ「ping」を打っても
Reply from〜が返ってこないのって関係あるんでしょうか?ちなみにエラーメッセージは、
「Request timed out.」になります。(Client PCからインターネットは出来るんですけどね。)「ping」で確認できるのは、ISA ServerのNIC上までです。その先は、必ず「Request timed out.」になります。


192.168.10.0 の network の pc は内側の ISA server に default gateway を向けていますよね?で,192.168.1.0 の network(つまり D.M.Z. ですよね?)の host の default gateway は外側の ISA server でしょうか?この場合,内側の ISA server で NAT するか,外側の ISA server で 192.168.10.0 の network に対する static route が必要ですが,その辺は設定されています?
でも,Internet へは ping できるのでしょうか?それとも単に Internet 上の www server に接続できるだけでしょうか?
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-05-17 13:58
こんにちは。
引用:

kazさんの書き込み (2004-05-14 01:49) より:
こんばんわ.

失礼しました.
一般的に,proxy を使う場合は www browser に proxy の設定をして,www browser が www server を参照する際に proxy へ代行を依頼するようにします.が,この設定をしないで,proxy 側で tcp:80 で www browser が www server へ接続しに行こうとしているのを横取りして,知らないうちに proxy を使わせるものを「透過 proxy」と呼びます.


ありがとうございます。なんとなくは理解していても、わかりやすい説明を聞くと、「なるほど」と思いました。実際にどう動いているかをきちんと把握していないと、自分自身がよくわからなくなってしまいますから、助かります。
引用:

ということは,D.M.Z. 上の www server は provider の DNS server に登録されていないのですよね?その場合,外部から参照できないと思いますが...


そうですよね。やはり、サーバー公開ルールにてDNSサーバーを公開したとしてもInternet上にゾーンファイルが無ければ、wwwを参照することは不可能なんですよね。この辺が知識として足りなかった部分です。
引用:

その前に,DNS の domain はお持ちなのでしょうか?
大変失礼な質問なのかもしれませんがお許しください.DNS と Web が Internet 上でどのような仕組みで連動しているかはご理解されています?
D.M.Z. の DNS server を公開しても,Internet 側から見に来なければ意味がありません.つまり,DNS の domain zone を取得して,「この domain zone の管理をしているのはこの DNS server です」といった「宣言」が必要になります.この辺は JPNIC に登録したり,domain だけ取得して DDNS を利用したり,いろいろ方法はありますが,要するに Internet から D.M.Z. の www server を見るためには Internet からみえる場所にある DNS server で名前解決する必要があり,さらにその DNS server は「ここにあります」と Internet 上に公開する必要があるということです.

この辺をご存知なのであれば大変失礼な話ですのでお詫びいたします.


お詫びだなんて、こちらこそDNS と Web が Internet 上でどのような仕組みで連動しているかが明確になりました。あいまいだった部分ですので、大変感謝しています。
当然DNS の domainは持っています。
引用:

ちなみに,内部 DNS の zone と D.M.Z. の DNS の zone は同じだったりします?


同じではありません。現状動いているドメインとは別に取得済みのドメインでテストしています。内部DNSはxxx.co.jpで、D.M.Z.のDNSはxxx.comにしています。
引用:

192.168.10.0 の network の pc は内側の ISA server に default gateway を向けていますよね?


そうです。
引用:

で,192.168.1.0 の network(つまり D.M.Z. ですよね?)の host の default gateway は外側の ISA server でしょうか?


そうです。
引用:

この場合,内側の ISA server で NAT するか,外側の ISA server で 192.168.10.0 の network に対する static route が必要ですが,その辺は設定されています?


static routeの設定は、されていないので「ping」出来ないということはわかっているんですが、設定を変更するとすれば、どこをいじればいいかがわかりません。
引用:

でも,Internet へは ping できるのでしょうか?


できません。上記の設定がされていないので。
引用:

それとも単に Internet 上の www server に接続できるだけでしょうか?


そうです。透過proxyによって接続しに行っています。ISA ServerがもともとWindows2000 ServerなだけにRouterとは思えない部分があって、static routeの設定に戸惑いがあったのは確かです。基本的には、Routerと思えばいいんでしょうけど…。

現状の報告をしますと、グローバルIPアドレス(221.xxx.xxx.44)とネームサーバ名(ns1.xxx.com)でのD.M.Z.上のWebアクセスは、可能になっております。だから、あとは、Internet上に「www.xxx.com」のグローバルIPアドレスが「221.xxx.xxx.44だよ」と教えてあげられるDNS Serverのゾーンファイルがあれば解決すると思っています。あとは、外部からのメールの送信と内部ネットワークの「ping」による疎通確認ができれば、問題は解決するはずです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-17 21:44
こんばんわ.
引用:

ヨッシーさんの書き込み (2004-05-17 13:58) より:
引用:

ちなみに,内部 DNS の zone と D.M.Z. の DNS の zone は同じだったりします?


同じではありません。現状動いているドメインとは別に取得済みのドメインでテストしています。内部DNSはxxx.co.jpで、D.M.Z.のDNSはxxx.comにしています。


なんかふんだんに domain 使ってますね.贅沢な感じですてきでつ...
D.M.Z. と internal を同じ domain zone としてしまうと,DNS の zone を二重管理しなければなりませんからね.

引用:

引用:

この場合,内側の ISA server で NAT するか,外側の ISA server で 192.168.10.0 の network に対する static route が必要ですが,その辺は設定されています?


static routeの設定は、されていないので「ping」出来ないということはわかっているんですが、設定を変更するとすれば、どこをいじればいいかがわかりません。


前述どおり,network address transration という仕組みが必要です.
僭越ながら少々詳しい解説をすると,ISA Server の「サーバを公開する」というのもやはり NAT ですね.この場合の NAT を distination NAT と呼んだりします.これは,NAT の table で「A という ip address に接続にきたら A' に繋げる」という風に機能して,例えば Internet から ISA Server の external interface の A に接続しにきたら internal interface よりなかにある A' 繋がる道理です.
逆に,internal の Client が ISA Server を通して external な host に接続する場合に利用されるのが source NAT です.例えば,internal の a という ip address で ISA Server の external interface の ip address A の側の X という ip address に接続する場合,a は ISA Server 上で A という ip address に書き換えられて X に接続します.
前者の場合,Internet 上の Client はあたかも ISA Server の external interface と接続しているように見えて実はその「向こう側」の host に接続していて,後者の場合は internal な Client がまるで ISA Server であるかのように external な server に接続できるわけです.

この辺なんかわかりやすいのではないかと.
http://www.microsoft.com/japan/Isaserver/techinfo/techguide/admin/admin2-1.asp

引用:

現状の報告をしますと、グローバルIPアドレス(221.xxx.xxx.44)とネームサーバ名(ns1.xxx.com)でのD.M.Z.上のWebアクセスは、可能になっております。だから、あとは、Internet上に「www.xxx.com」のグローバルIPアドレスが「221.xxx.xxx.44だよ」と教えてあげられるDNS Serverのゾーンファイルがあれば解決すると思っています。あとは、外部からのメールの送信と内部ネットワークの「ping」による疎通確認ができれば、問題は解決するはずです。


電子メールの受信も,DNS の問題と同列の問題です.
"ping" の話は,ちょっと話がわかりません.internal な client から Internet へは ping できるんですよね?ちなみにその内容は下記です.
http://www.microsoft.com/japan/isaserver/techinfo/tips/pptpandping.asp
external から ISA Server を経由して internal へ ICMP を通したいとご希望でしょうか?もしそうなら,それはお止めになられたほうがよろしいでしょう.Security 上よろしくないでしょう.外部 --> 内部はできるだけ抑制するべきです.
杞憂だったらゴメンナサイ.
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-05-19 11:51
おはようございます。
引用:

kazさんの書き込み (2004-05-17 21:44) より:
こんばんわ.

なんかふんだんに domain 使ってますね.贅沢な感じですてきでつ...
D.M.Z. と internal を同じ domain zone としてしまうと,DNS の zone を二重管理しなければなりませんからね.


もしかしたら、現状で2重管理しているかもしれません。なぜ、そんなことを言うかというと、
Active Directoryで構成されているネットワーク(192.168.10.x)とD.M.Z.内のネットワーク(192.168.1.x)のドメイン(xxxx.co.jp)は、一緒なんです。Active Direcory内のClient PCのDNSサフィックスは、xxxx.co.jpとなっております。Active DirectoryのDNSは、D.M.Z.のDNS Serverにフォワードしていません。D.M.Z.内のDNS Serverのゾーンファイルにも当然xxxx.co.jpという名前があります。で、正引きのゾーンファイルがinternal向けとexternal向けの2つあるんです。internal向けのゾーンファイルは、当然のことですがあくまでプライベートIPアドレスのみ許可しています。external向けのゾーンファイルは、特に制限をかけていない通常のものです。ちなみにD.M.Z.内のDNS Serverは、R.H.Linuxです。versionは、2.4.20-8になっております。現状はルーターが2台ありまして、内部側はcoregaのブロードバンドルーターで、外部側はYAMAHAのルーターになっております。
できれば、ドメインは1つだけのほうがいいんですが、関連会社が4社くらいあるので、使用せざるを得ない状況です。
引用:

前述どおり,network address transration という仕組みが必要です.
僭越ながら少々詳しい解説をすると,ISA Server の「サーバを公開する」というのもやはり NAT ですね.この場合の NAT を distination NAT と呼んだりします.これは,NAT の table で「A という ip address に接続にきたら A' に繋げる」という風に機能して,例えば Internet から ISA Server の external interface の A に接続しにきたら internal interface よりなかにある A' 繋がる道理です.
逆に,internal の Client が ISA Server を通して external な host に接続する場合に利用されるのが source NAT です.例えば,internal の a という ip address で ISA Server の external interface の ip address A の側の X という ip address に接続する場合,a は ISA Server 上で A という ip address に書き換えられて X に接続します.
前者の場合,Internet 上の Client はあたかも ISA Server の external interface と接続しているように見えて実はその「向こう側」の host に接続していて,後者の場合は internal な Client がまるで ISA Server であるかのように external な server に接続できるわけです.

この辺なんかわかりやすいのではないかと.
http://www.microsoft.com/japan/Isaserver/techinfo/techguide/admin/admin2-1.asp


ありがとうございます。調べればきちんと掲載されているのに本当に馬鹿ですね。
とても参考になりました。
引用:

電子メールの受信も,DNS の問題と同列の問題です.
"ping" の話は,ちょっと話がわかりません.internal な client から Internet へは ping できるんですよね?ちなみにその内容は下記です.
http://www.microsoft.com/japan/isaserver/techinfo/tips/pptpandping.asp
external から ISA Server を経由して internal へ ICMP を通したいとご希望でしょうか?もしそうなら,それはお止めになられたほうがよろしいでしょう.Security 上よろしくないでしょう.外部 --> 内部はできるだけ抑制するべきです.
杞憂だったらゴメンナサイ.



以前"ping"ができなかった原因がわかりました。ファイアウォールクライアントで構成していたからでした。Secure NATクライアントで構成をしないと"ping"疎通が出来ないと上記のアドレスに明記してありました。外部 --> 内部はできなくても別に問題にはしてなかったんですが、内部 --> 外部はできないとネットワーク障害があったときの切り分けが出来なくなってしまうので、なぜできないのかなと頭を抱えていました。

この環境におけるテストもほとんど終わりに近づき、あとは、最終的にメールの送受信ができるかどうかというところまで来ました。これもひとえにkazさんのアドバイスがあったからに他なりません。改めて感謝します。また、別な問題があったときは、ぜひこの掲示板を利用させていただきます。

スキルアップ/キャリアアップ(JOB@IT)