DNS на ms2k3 запрет форвардов

[Icom]

Есть машина на которой живет win2k3server на нем стоит KWF все это счастье для 4 компьютеров жило долго и счастливо, пока не понадобилось к куче хлама на этот win2k3 еще водрузить DNS сервер, да не просто водрузить для личных нужд (с простыми форвардами керио чудно справлялся), а держать зону, то есть стать primary dns для зоны второго уровня.

Вот тут собственно сложность, надо слушать и локалку и внешний интерфейс, на локальном форвардить все к провайдеру, а на внешнем интерфейсе ничего не форвардить и отдавать только известную ему зону. Перечитал хелп на пару раз но как запретить форвард на одном интерфейсе, но оставить его одновременно на другом я не увидел, может плохо смотрел (если так ткните в ссылочку на майкрософт) или это он не умеет все таки?

[Angel_of_Sorrow]

для начала я бы рекомендовал просто развести Kerio и DNS сервера на разные тачки,потом плясать....а то можете схватить конкретную неразбериху,у меня был печальный опыт

[Icom]

В том то и дело что надо сгородить на одной машине, у керио форварды отключил, пока смотрю в сторону порта bind под windows на место родного dns сервера от ms, пока что читаю доку по нему

[Green]

keywords: bind, view

[Unit]

Если порт BIND заработает, то это будет прекрасно.
Но, если нет, то рекомендую покопать Technet на предмет корректной настройки DNS Microsoft. Он настраивает, но правда не так просто как BIND. Впрочем, вы же понимаете, что это Microsoft

[Icom]

покопать Technet на предмет корректной настройки DNS Microsoft. Он настраивает, но правда не так просто как BIND. Впрочем, вы же понимаете, что это Microsoft

порылся в технете вроде бы как все о DNS про пересылку в целом там есть, про ограничение прослушиваемых интерфейсов тоже, а вот про объединение этих двух составляющих, либо не по глазам, либо ...

[Icom]

Если порт BIND заработает, то это будет прекрасно.
Но, если нет, то рекомендую покопать Technet на предмет корректной настройки DNS Microsoft. Он настраивает, но правда не так просто как BIND. Впрочем, вы же понимаете, что это Microsoft

Долго курил доку в итоге водрузил порт бинда, делает то, что мне хотелось, локалке отдает созданную мной зону, а все остальное спрашивает у вышестоящего сервера; снаружи только отдает созданную мной зону, на все остальное честно говорит что в доступе отказано, красота;

Осталась только одна маленькая неприятность:

Code: [Select]

*** Can't find server name for address 192.168.0.2: Server failed
*** Default servers are not available
Default Server:  UnKnown
Address:  192.168.0.2
Nslookup говорит это при старте, что я забыл сделать или сделал не правильно?! Предполагаю что-то с обратной зоной локалки или ошибаюсь?

[Icom]

Сам дурак, понял что забыл в обратной зоне для локалки прописать, все разобрался;

PS. Пока читал доку и мучал конфиги, порт бинда хочет их видеть в %systemroot%\system32\dns\etc там же рядом ..\system32\dns скалдывает свои конфиги dns сервер от microsoft (когда не интегрирован в AD) где можно сделать все тоже самое что и с биндом, даже проще; но я что-то зациклился на правке через mmc может кому полезно будет