我为一家在 AD 域上使用拆分 DNS 配置的公司工作。我知道这不太理想,但我无法推动这一领域的变革。我拥有不涉及 Active Directory 的权威 DNS(内部和外部),而另一个团队拥有域控制器。
背景:
- 我们有一个名为的拆分域
example.com,它存在于所有域控制器上。 - DC 被配置为对它们不具有权威性的所有域使用转发器。
- 该 ( ) 的子域使用记录
sub.example.com委派给 DMZ 中的公共 IP 地址。NS我需要使用 DMZ 之外的内部 IP 地址来消除这些 IP 地址。 - 可以从转发器访问新 IP 地址,但不能从域控制器访问。
要直观地表示这一点:
example.com. (DCs are authoritative)
sub.example.com. (subdomain not managed by the DCs)
我希望将sub.example.com. NS记录转换为条件转发器,将流量发送到标准转发器,但我们的域管理员告诉我,Windows DNS 不允许转发器进入正向查找区域。
这是一个不受支持的配置,这是真的吗?其他 DNS 产品对位于权威区域下的转发器没有问题,因此我想确保在使用不同的策略之前使用正确的信息,例如绕过转发器的每个 DC 的防火墙漏洞. (啊)
我已经查看了在 Windows 2k3 中将子域的转发请求转发到另一台 DNS 服务器以及推荐NS委派的已接受答案,该答案没有回答这个问题。
我将以我对 MSDNS 细节不是很熟悉的免责声明作为开头。
首先,我可以确认,如果您尝试仅添加这样的转发区域(例如,作为常规区域存在
sub.example.com时的转发example.com区域),您会遇到以下错误对话框:(由 Windows 自动生成的光荣的 ASCII 表示。)
但是,正如Using Forwarders文档中所述(强调添加):
即,如果您
sub.example.com首先委托其他地方(限制您的example.com区域范围),那么它确实允许您为sub.example.com.走这条路是否真的适合你可能取决于你的场景的细节。
对于它的价值,我确实注意到,似乎 MSDNS 出于某种原因忽略了
RD转发区域的(需要递归)位(即,即使RD未设置它也会转发),因此上述委托似乎实际上并不可见在这个设置中。