Как использовать несколько DNS-серверов?
 

Добавил два дополнительных DNS-сервера в свойствах подключения по локальной сети, но команда nslookup показывает, что система все равно ищет сайт по основному DNS-серверу (и, естественно, не находит его там). Конечно, можно в hosts прописать IP нужного сайта, но по понятным причинам хотелось бы обойтись без такого рода костылей. Можно как-то вправить мозги Win10, чтобы она все указанные DNS-сервера перебирала, а не останавливалась на первом?

Avatar-Lion, если я правильно помню, тут принцип простой - "Кто первый встал, того и тапки" :biggrin:
(кто первый ответил, тот и ответил, остальные сервера из списка не опрашиваются).
Может, я и неправ, коллеги, поправьте.

Я погуглил, и да, это не баг, а фича: Win10 использует тот сервер, который ответил быстрее всех остальных, остальные в этом случае отбрасываются. Я не знаю каким местом думала Майкрософт, внедряя такое поведение в Win10, но очевидно, что это неприемлемо для случаев, когда в сети 2 разных DNS-сервера.

DNS серверы имеют каскадную структуру. Информация с верхних уровней должна реплицироваться на нижние. Так что у MS всё правильно запрограммировано.

Grabber2006, Тем не менее, на деле ничего не работает и nslookup это наглядно демонстрирует: ОС упорно долбится в первый по списку DNS-сервер, тупо игнорируя все остальные.

у вас прямое соединение или через рутер? В случае рутера нужные ДНС лучше прописать там (в самой системе сервером указать рутер - у меня так, и всё более-менее работает как задумывалось).

dmitryst, вероятно да, роутер есть, но все несколько сложнее... ПК в отдельном VLAN'е, на нем прописаны корпоративные DNS, чтобы сотрудники могли ходить по внутренним адресам конторы. Но для доступа к ЕМИАС поднимается защищенное соединение с помощью VipNet Client. И чтобы работали ссылки вида main.emias.mosreg.ru, нужно дописать еще пару DNS. Ну как дописать... Если на первом месте стоят корпоративные DNS, то открываются корпоративные ресурсы, а ЕМИАС - нет. И наоборот.

Avatar-Lion, а если в hosts прописать?

Petya V4sechkin, Да, само собой, так сайт начинает открываться, но я же не знаю сколько этот IP будет соответствовать доменному имени... Ладно. Видимо, в рамках Win10 проблема решения не имеет.

Avatar-Lion, не нужно пытаться использовать разные днс сервера. Это ни к чему. Если нужно оверрайднуть или добавить пару А-записей, то используйте split dns на авторитативном, либо рекурсивный, где есть возможность оверрайда. В последнем случае отлично сработает unbound.

Да, но его надо на чём-то запустить... Если рутер не под более-менее стандартным дистрибутивом *nix, придётся попотеть и побегать с бубном. Вообще хорошо, если текущий рутер имеет аналогичную возможность, можно вбить данные прямо туда.

Шта? Есть официальные сборки и под винду. Ну если вдруг ОС кроме винды под рукой нет ;)
Да и поднять вм с линуксом не проблема где угодно.

Cereal Keeler, Я простой эникей, хрен кто меня пустит на маршрутизатор. :) Я даже IP за принтером закрепить не могу, заявку пишу по каждому девайсу, чтобы сис.админы это сделали.

Без проблем, напишите ещё одну заявку сисадминам, чтоб сделали что вам нужно.

Cereal Keeler, Что-то я не улавливаю. А каким путем на корпоративный DNS попадут записи DNS Минздрава? Он ведь недоступен до тех пор, пока не поднято защищенное соединение. А оно может быть поднято только на конкретном ПК, который даже за пределы помещения выносить нельзя.

прошу пардону (с), чё-то как-то привык, что оно под никсы :biggrin:
Avatar-Lion, Так, стоп... А в свойствах VPN разве нельзя вписать свои DNS?

dmitryst, VipNet Client таких настроек не имеет, как я понял. Там нужно написать текстовый файл DNS.txt с определенным синтаксисом, положить его в определенную папку, клиент его обработает... Короче, у меня не получилось заставить работать эту фигню. Не в последнюю очередь потому, что я не уверен что правильно его написал. В планах обращение в тех.поддержку ВипНета, но учитывая как у нас в государстве такие вещи работают, я заранее подыскиваю альтернативные варианты на случай, если меня пошлют лесом с моими хотелками.

Но как я понял, Win10 больше одного DNS-сервера обрабатывать не умеет, так что тему, наверное, можно закрывать, т.к. мои хотелки технически нереализуемы. :)

таких не знаю. А интерфейс-то для туннеля он создает? OpenVPN, например, создает, и ему можно прописать его "личные" ДНС как для обычной сетевухи.

И каждый раз записи разные?

да, первая идея вписать в хостс, или в реестре.
А для
можно в планировщик вбить доп задачу на утренний логон (напр, вашего же суппортского компа) - запрос на этот адрес (напр, гет) и считывание заголовка страницы. Если он будет соответствовать текущему (не знаю, что там, но название ресурса обязательно присутствует - вот до окончания названия греппить число символов ) - то завершение задачи. Если нет - выкидывать вам предупреждение любым нравящимся образом. Хоть в мыло, хоть на экран, хоть куда, что надо сменить ип-адреса для мосреговских серверов.

\\задачи одменства предусматривают ленивые решения \\ )))

Cereal Keeler, Я этой проблемой недавно только начал заниматься, не знаю как часто меняются IP. Но там фишка еще в том, что есть куча суб-доменов, по типу emias.mosreg.ru, webview.mosreg.ru и т.п. У всех них могут быть разные IP. То есть невозможно сказать работает ли кнопка или ссылка на портале ЕМИАСа, пока врач не попробует ее нажать. Работает - хорошо, не работает - меняем DNS, пингуем нужный адрес, узнаем IP, вписываем в hosts, меняем DNS обратно на корпоративный... В общем, неудобно от слова "совсем". Особенно учитывая тот факт, что делать это все приходится во время приема пациентов.

bredych, Это все не вариант. Я же не нахожусь на работе 24\7, а вот врачи работают и с самого раннего утра, и поздно вечером, и в выходные. Поэтому пока только 1 комп я тестирую таким образом, т.е. руками вбиваю в hosts нужные адреса нужных сайтов. Тех.поддержка VipNet'а отослала к владельцу защищенной сети. ОК, написал в тех.поддержку Минздрава, т.к. формально это их сеть. Они предложили то же, что выше: либо юзать их DNS, либо настроить какую-то хрень на корпоративных DNS (дословно уже не помню). Короче, отослал их ответ нашим сис.админам, посмотрим что скажут.

P.S. Но таки да, админы могут и лесом послать, т.к. им это работать не мешает, а то что приходится выбирать между сайтами ЕМИАСа и корпоративными ресурсами - это проблемы тех, кому эти ресурсы нужны.

тут еще глупая идея пришла..
а если таблицы маршрутизации?
Типа, если надо на такой-то ип диапазон - идти на некий другой гейт (неважно, комп или рутер), где стоит днс этого емиаса или как там его.
А если всё остальное - то на обычный гейт с обычным днс
а?

а что никто не прокомментировал вариант с прописью ДНС в свойствах VPN-адаптера? Не сработает?

bredych, Это было бы клёво, но я понятия не имею как такое делается. :) Про route add я в курсе, конечно, но там же нельзя диапазоны адресов задавать, не говоря уж о том, что мы не знаем какой IP будет у очередной ссылки вида *.mosreg.ru

dmitryst, Там нет VPN-соединения в обычном смысле этого слова. VipNet Client - это именно что клиент, по типу почтового клиента, т.е. в сетевых подключениях Винды нет VPN-соединения, как это обычно бывает. Плюс там реально есть встроенный почтовый клиент, чтобы защищенные узлы могли обмениваться сообщениям по защищенным каналам связи... Короче, что-то вроде Outlook'а, только который для связи с сервером поднимает собственное VPN-соединение. И все это еще фильтруется дополнительно встроенным файрволлом или типа того. Выглядит примерно так (картинка с инета): https://oldtbd.yanao.ru/upload/media...1%80%D1%8B.jpg

ясно-понятно. Значит, это не наш путь.
Upstream provider DNS Forwarding, скорее всего.

Avatar-Lion, а что говорит поддержка? Ваш случай явно не уникальный, неужели ничем не могут помочь?

А это реально? Ведь DNS-сервер конторы вообще в другом городе и он явно не будет иметь доступа в защищенную сеть Минздрава, ведь соединение поднимается на отдельных конкретных ПК.

Cereal Keeler, Поддержка VipNet'а отослала к "координатору защищенной сети", то бишь к Минздраву. Минздрав предложил сделать чего-то там на наших DNS-серверах (возможно, тот самый Upstream provider DNS Forwarding, о котором выше dmitryst написал), я это все переправил админам, они сказали что это невозможно сделать. Ну и собственно, на этом всё закончилось. Типа, проблемы негров шерифа не волнуют, ковыряйтесь дальше сами.

В общем-то, я так понимаю, единственный вариант - это продолжить собирать IP-адреса различных субдоменов и пихать их в hosts. Кстати, а есть какой-нибудь способ узнать какие вообще адреса хранятся на DNS-сервере и выгрузить их в текстовом виде? В конце концов, это же внутренняя сеть Минздрава с доступом к конкретным ресурсам, вряд ли там 100500 доменов и IP-адресов.

Да хоть у гугла или где оно там... Мы настраиваем перенаправление на внешний ДНС сервер доменов, которые мы разрешить не можем. Тут-то и можно прописать сервреа минздрава или кто у вас там ;)
насколько мне известно, никак. Нужно просто поиметь файлы конфигов, всех зон, которые обслуживает данный ДНС.

А зачем тогда шериф нужен? Ну, то есть админы, которым явно лень? По мне так пора писать жалобу про отказ выполнять служебные обязанности со стороны админов. Я хз канеш как у вас там всё устроено и как иерархия выстроена, но у меня б админ, отказавшийся даже рассмотреть кейс, вылетел бы в один день по статье и долго никуда б не устроился.

А это где настраивается-то? На локальном ПК?

ЕМИАС. Единая медицинская информационно-аналитическая система. Для простых граждан это сайт emias.info, а для врачей... Ну, с "обратной стороны" все чуть менее радужно, как видите. :)

Хм... Т.е. мне отправить в Минздрав запрос вида "можете выслать файл конфига вашего DNS?". Или как это лучше сформулировать?

Им не то чтобы лень... Я оформил заявку. Описал проблему. Потом в доп.письме описал ее еще раз, более подробно. Указал что я делал и какого результата хотелось бы достичь. В общем-то, могу всю переписку сюда завтра-послезавтра из почты скинуть, ничего секретного там нет, но я так понимаю, их молчание означает, что они сами не знают как такую проблему решить, тем более что я явно не первый эникейщик, который их просит о подобном. Клиника уже три года как открыта, если за три года не решили эту проблему, то едва ли сейчас что-то поменялось.

Нет ничего страшного, когда не знаешь чего-то, для этого есть эскалация проблемы - привлечение тех, кто знает. Ну стандартная процедура же...

Cereal Keeler, Так не на кого эскалировать. :) Есть эникейщики на местах и есть сис.админы. Если не знаешь как решить что-то, то пишешь им. Если они тоже ничего не могут поделать... Ну значит все, проблема решения не имеет.

В общем-то, это на самом деле не редкость. Я с ходу еще пару-тройку проблем могу вспомнить, которые тоже никто решить не смог и не сможет никогда. Ну просто вот потому, что оно всё кривое, вернее, не кривое, а просто вот так сделано. Кто вот виноват в том, что Win 10 только один DNS-сервер может выбрать для работы, а не два? Никто. Так вот решил коллективный разум разработчиков Майкрософта и я даже понимаю логику такого решения. Ведь действительно логичнее всего работать с тем сервером, который ответил быстрее всего. А такие вот ситуации как у меня - они единичны и никто их исправлять не будет, это частности, учитывать которые банально невыгодно.

Я даже догадываюсь чем все закончится: предложу в итоге начальству либо ставить в каждый кабинет по второму компу, либо освобождать врачей, работающих с ЕМИАСом, от ответственности за невозможность сделать что-то внутри корпоративной сети.

на вашем корпоративном сервере вашими корпоративными админами ;)
не, это чисто теоретически.
И кстати, а как в других фирмах-то? Вы же не одни-единственные с такой проблемой ;)

подобные вещи нередко индивидуально решаются..
У нас когда-то был один отдельный комп, которому в АД было выдано разрешение коннектиться к конкретно одному серву в германии, и у него сетевые настройки были таковы, что ко внутренней сети он доступа не имел..
Для отдельных задач вообще был договор с левым провом, который давал отдельную линию инета, чтоб опять же, не было никакой физической связи с внутренней сетью.
Это просто что вспомнилось навскидку. Всё сильно зависит от законных актов, что разрешено, а что нет.. Бывает какая-то запятая в нормативном доке (сверху или самой конторы) запрещает самое очевидное решение и далее долбись как хочешь.

я к тому, что необязательно решение соседей будет применимо