这很难解释,所以请耐心等待。
我们有 2 个域控制器,每个域控制器都是多宿主的,跨越 2 个内部子网(子网 A 和子网 B)并提供 dns、dhcp 和 ldap 身份验证。
两个域控制器各有 2 个 DNS 条目。两个条目具有相同的主机名,但分别对应于子网 A 和子网 B(显示示例条目):
dc1 主机 192.168.8.1
dc1 主机 192.168.9.1
dc2 主机 192.168.8.2
dc2 主机 192.168.9.2
我们的 dmz 也有第三个子网(子网 C),这两个域控制器都没有 IP 地址,但是我们的防火墙/路由表提供从子网 C 访问子网 A 的权限,反之亦然,但不允许访问子网B 来自子网 C。
这是我的问题。当子网 C 上的服务器按主机名查询域控制器时,如何强制/确定使用哪个 dns 条目?现在,它似乎随机选择了两个条目之一,将 IP 地址的名称换掉,仅此而已。
问题是如果它随机选择对应于 9.x 子网 B 的条目(不能从子网 C 访问),那么服务器将无法解析。如果它选择 8.x 子网 A 的条目,则它会解析(为这 2 个子网之间的通信定义的防火墙/路由表)
这是我想知道的:
- 在 DNS 服务器不存在的子网上处理 DNS 解析的最佳实践(如果有)是什么?
- 当同一主机名有多个对应于不同 IP 子网的条目时,我可以控制类似于度量值的东西来强制 DNS 解析的顺序吗?
- 我什至应该有 2 个同名的 DNS HOST 条目吗?
这是我想避免的:
- 对子网 C 上的服务器的 HOSTS 文件进行编辑,以强制将主机名的 DNS 解析到适当的子网
- 将 NIC 添加到 DC 以使它们也跨越 DMZ,从而获得对应于子网 C 的第三个 DNS 条目
再次,如果这太冗长/不清楚,我深表歉意。
谢谢!
冒着不回答你的问题的风险——我不明白你的 DC 需要多宿主——只需将它们放在它们自己的子网中(VLAN 更好),它可以从任何需要它的子网路由。这完全避免了拆分 DNS 问题。
我同意@Ed Fries 关于设置站点的评论——这也是我最初的想法——如果你必须保持相同的网络拓扑,那么它可能是一种合适的做事方式。
仍然放弃多归位将是我的首选(正如 Ed 指出 MS 推荐的)方法。
我怀疑 OP 的多宿主设置是为了解决 DHCP 或 Wins 的问题。