Início / server / Perguntas / 695872
Accepted
Andrew B
Asked: 2015-06-02 09:14:35 +0800 CST

O Windows Server 2012 oferecerá suporte a um encaminhador condicional aninhado?

  • 772

Trabalho para uma empresa com uma configuração de DNS dividida no domínio AD. Sei que isso não é o ideal, mas não estou em posição de promover mudanças nessa área. Eu possuo DNS autoritativo (interno e externo) onde o Active Directory não está envolvido e outra equipe possui os controladores de domínio.

Fundo:

  • Temos um domínio dividido chamado example.comque reside em todos os controladores de domínio.
  • Os controladores de domínio são configurados para usar encaminhadores para todos os domínios para os quais não têm autoridade.
  • Existe um subdomínio desse ( sub.example.com) que é delegado a endereços IP públicos em uma DMZ usando NSregistros. Tenho a necessidade de eliminar esses endereços IP usar endereços IP internos que estão fora da DMZ.
  • Os novos endereços IP podem ser acessados ​​pelos encaminhadores, mas não pelos controladores de domínio.

Para representar isso visualmente:

    example.com. (DCs are authoritative)
sub.example.com. (subdomain not managed by the DCs)

Eu gostaria de ter os sub.example.com. NSregistros convertidos em um encaminhador condicional que envia tráfego para os encaminhadores padrão, mas meus administradores de domínio me disseram que o DNS do Windows não permitirá um encaminhador dentro de uma zona de pesquisa direta.

É verdade que esta é uma configuração não suportada? Outros produtos DNS não têm problemas com um encaminhador que está abaixo de uma zona autoritativa, então quero ter certeza de que estou trabalhando com as informações corretas antes de passar para uma estratégia diferente, como falhas de firewall para cada controlador de domínio que contorna os encaminhadores . (argh)

Já revi as solicitações de encaminhamento de subdomínio para outro servidor DNS no Windows 2k3 e a resposta aceita que recomenda uma NSdelegação, que não responde a esta pergunta.

domain-name-system

1 respostas

  1. Best Answer

    Vou começar com o aviso de que não estou muito familiarizado com os detalhes do MSDNS.

    Em primeiro lugar, posso confirmar que, se você tentar apenas adicionar essa zona de encaminhamento (por exemplo, uma sub.example.comzona de encaminhamento quando example.comexiste como uma zona normal), você se depara com esta caixa de diálogo de erro:

    ---------------------------
DNS
---------------------------
A problem occurred while trying to add the conditional forwarder.
A zone configuration problem occurred.
---------------------------
OK   
---------------------------

    (Gloriosa representação ASCII gerada automaticamente pelo Windows.)


    No entanto, conforme observado na documentação do Using Forwarders (ênfase adicionada):

    Um servidor DNS não pode encaminhar consultas para os nomes de domínio nas zonas que ele hospeda. Por exemplo, o servidor DNS autoritativo para a zona microsoft.com não pode encaminhar consultas de acordo com o nome de domínio microsoft.com. O servidor DNS com autoridade para microsoft.com pode encaminhar consultas para nomes DNS que terminem com exemplo.microsoft.com, se exemplo.microsoft.com for delegado a outro servidor DNS.

    Ou seja, se você delegar sub.example.comem outro lugar primeiro (limitando o escopo de sua example.comzona), ele permitirá que você adicione uma zona de encaminhamento para sub.example.com.

    Se seguir esse caminho realmente funcionará para você, provavelmente dependerá dos detalhes minuciosos do seu cenário.

    Pelo que vale a pena, notei que parece que o MSDNS, por algum motivo, ignora o RDbit (recursão desejada) para zonas de encaminhamento (ou seja, ele encaminha mesmo quando RDnão está definido), então parece que a delegação acima mencionada não é realmente visível nesta configuração.

    • 2

relate perguntas