前辈们帮忙看看，这解析要咋弄？？？

ku6ccie

公司内网放置了两台WEB server，这两台server使用同一个内网网段地址192.168.3.11和192.168.3.12，对应的域名分别是www.aa.com与[url]www.bb.com[/url]。
        在公司出口的路由器后端放置了PIX火墙，配置了NAT与端口映射，从外网访问这两台web server都很正常，DNS解析的地址也都是web server相应的公网地址。
        如今在同一个交换机（交换机上没有划分VLAN）上添加了一台PC 192.168.3.100。
        使用这台PC访问这两台web server发现，只能访问aa.com！！bb.com访问失败！！
        ping这两个域名发现，aa.com返回的是内网地址192.168.3.11，而bb.com返回的是公网地址202.171.xx.xx
        在PC上直接使用bb.com的内网地址访问没有问题。
        PC上配置的是内网网关192.168.3.1配置的DNS是公网上的一台DNS202.99.224.68

        目前公司使用了三个公网地址，两台web server分别使用两个公网地址做端口映射，另一个公网地址用于员工访问公网使用。

        请教一下各位前辈，是什么导致这个问题的？我应该怎么做？？？？

[ 本帖最后由 ku6ccie 于 2009-12-20 19:45 编辑 ]

llzqq

归纳起来有两点：

1.PC 192.168.3.100上的hosts文件里应该是加了aa.com的静态解析条目。要想让其也能访问bb.com也需要加静态解析条目。
2.修改防火墙规则，是内网用户通过WEB服务器的公网IP地址也能访问，这样就不需要在hosts里面添加静态解析条目了。

ku6ccie

感谢大大的帮忙。
1、host文件检查了没有相应的记录，而且我还在ping之前ipconfig -flushdns了，但是对结果没有任何影响。公司的人数较多，逐个人添加不太现实。
2、防火墙上的设置规则对于两台server来说都是一样的，只是ip地址不同而已，现在就是希望bb.com这个域名针对内部的请求也能像aa.com这样使用内部地址来响应就好了。

我觉得现在问题的切入点在于：为何aa.com对于来自于内部的域名解析请求会返回一个私网地址？？我DNS指向的可是一台公网的DNS server呀！！火墙是一台PIX，三层设备，只会对数据包的头部进行修改和检查，不可能对数据包的内容进行修改呀，所以也就不存在是防火墙把DNS返回的查询结果给修改为一个内网地址这种情况出现。用dig来分析的时候www.aa.com直接A记录一个192.168.3.11，晕死哟~~~~~这样的话也排除了web server的因素，因为dig只是PC与dns server之间的对话。

没有思路~完全没有思路~~~请各位赐教！！谢谢

llzqq

要想让同一个域名记录在不同网络环境里返回不同的解析结果无非两种方式：

1. 修改操作本机的hosts文件。
2. 域名解析使用了“智能域名解析”也即BIND+VIEW技术。

但如LZ所述使用相同公网DNS但解析的结果不同，真是有点见鬼的问道！

不妨把aa.com的真实域名给出，我帮你测试一下。可以论坛短信告知。

ku6ccie

再次感谢大大的热心帮助。

我在公司外dig这两个域名，返回的都是正常的公网地址结果，访问也没有任何问题。

您所说的测试可否说说思路，让小弟我增长一下经验值哈~谢谢！！！

ruochen

DNS（是不是aa的用了dns view，bb的没有生效）
GW（FW）
PC上的默认GW

从这些上面来检查吧

llzqq

测试结果如下：

两个域名一个是新网负责解析，一个是新网互联负责解析的，解析都很正常。

结论：

导致解析结果不一致的原因一定在内网，如防火墙，PC配置等，仔细检查吧。


建议在那个解析异常的机器上用dig命令(WINDOWS平台需要安装相应的BIND版本)跟踪一下解析过程应该能发现问题：

dig domain-name   +trace

ku6ccie

问题解决了！！！！！
问题还是出现在PIX上
在PIX上有一个alias命令会替代web server来诊断dns server的响应。
等我把思路再屡顺一下，再给大家一个完整的解决过程。

再次感谢各位大大的帮助与支持哈~~！！

ku6ccie

Alias的两个功能:
利用DNS Doctoring修正外部DNS服务器回复
o 利用DNS Doctoring,PIX 将"改变" 外部DNS响应的地址到另一个IP，这个地址不同于DNS服务器上真实提供的域名-IP记录。
o 此功能实现从内部客户端通过内部IP地址连接到内部服务器上。
转换目标IP地址的dnat（Destination NAT）到另一个IP。
o 用dnat改变应用程序的标地址.
o 此功能实现从内部客户端调用外部地址访问周边网络（例如DMZ区），不修改DNS回复。

例如，一台机器发送数据到99.99.99.99,可使用alias命令把数据重定向到另一个地址10.10.10.10.可使用此命令避免你网络里的IP与互联网或另一个企业内部网的IP冲突。请参考pix官方文档：http://www.cisco.com/univercd/cc/td /doc/product/iaabu/pix/index.htm

allegrox

其实就是nat时“回流”的问题