Preston Asked: 2015-06-22 15:43:41 +0800 CST2015-06-22 15:43:41 +0800 CST 2015-06-22 15:43:41 +0800 CST 多林环境中的最佳实践 DNS 772 我有一个多林环境,两个林都存在于同一个网络中。我希望它们之间的 DNS 尽可能顺利地运行。正向查找很容易,并且可以使用条件转发器来处理,但是反向查找区域呢?这种设置有模式吗?我是否应该为每个森林设置独立的查找区域并且只有重复项,我读过的所有内容都说永远不要这样做。 domain-name-system 1 个回答 Voted Best Answer Andrew B 2015-06-23T00:30:40+08:002015-06-23T00:30:40+08:00 公司独有的私有 IP 空间的反向 DNS 应该存在于所有面向内部的生产 DNS 服务器同样可以访问的 DNS 服务器上,以最大化唯一所有权。鉴于应该为您的 AD 基础设施制定的安全策略,如果没有足够的计划和复制,该中央机构不太可能成为您的 AD 服务器。 这并不是说您的 AD 服务器不应该有反向权限。只需将其限制在实际需要的范围内(很少,就像 joe 在评论中所说的那样),其余部分使用转发器,以确保反向记录的自动创建不会失控。 (免责声明:我很清楚这些是大多数大公司经常忽略的理想主义建议。这些公司还必须根据使用的 DNS 服务器处理返回的不同 PTR 记录,这些 PTR 记录很少在 IP 被回收后得到适当的清理。简而言之,这是一个疯人院,除非你打算不这样做,否则它永远都是。)
公司独有的私有 IP 空间的反向 DNS 应该存在于所有面向内部的生产 DNS 服务器同样可以访问的 DNS 服务器上,以最大化唯一所有权。鉴于应该为您的 AD 基础设施制定的安全策略,如果没有足够的计划和复制,该中央机构不太可能成为您的 AD 服务器。
这并不是说您的 AD 服务器不应该有反向权限。只需将其限制在实际需要的范围内(很少,就像 joe 在评论中所说的那样),其余部分使用转发器,以确保反向记录的自动创建不会失控。
(免责声明:我很清楚这些是大多数大公司经常忽略的理想主义建议。这些公司还必须根据使用的 DNS 服务器处理返回的不同 PTR 记录,这些 PTR 记录很少在 IP 被回收后得到适当的清理。简而言之,这是一个疯人院,除非你打算不这样做,否则它永远都是。)