我遇到了一个客户站点 Windows DNS 服务器,它的外部域位于 AD 服务器的正向查找区域中。这里有一些我们真的不想公开的 A 和 CNAME 记录。我想知道我们是否可以将 DNS 配置为指向其 SOA 的上游,如果它没有对此域的查询的答案,比如搜索 autodiscover.domain.com。
上游是由网络托管公司控制的 BIND DNS。我不想转移区域并覆盖这里的静态条目,如果我们不知道,只需联系上游。
这可能吗?机制是什么?它并不是真正的拆分 DNS。我修改了 SOA 记录,但如果它不知道,它不会在上游执行递归查询。
谢谢,
DNS 服务器对该区域具有权威性。服务器将回答对区域记录的任何查询。如果没有记录与查询匹配,则服务器将以 NXDOMAIN 响应。Windows DNS 不会将查询转发到上游服务器。
您可以做的是为每个记录创建一个区域,并在该区域中为每个记录应该解析的 IP 地址创建一个“顶点”A 记录。这将使服务器仅对那些“子域”具有权威性,并且服务器会将父域的所有查询转发到外部 DNS 服务器。
所以......您将创建一个名为的区域
www.domain.com,然后您将在该区域中创建一个“apex”A 记录,其中包含www.domain.com应解析的 IP 地址。冲洗并重复其他记录。最简单的做法是手动将托管公司 DNS 中的所有内容复制到 AD DNS。如果您很少对托管公司的 DNS 进行更改,这是最不让人头疼的方法。
这个问题的根本原因是AD域匹配公共域。解决此问题的正确方法是将 AD 设置为子域。通过绿地实施,这很容易。将现有 AD 迁移到子域很困难。
请参阅Active Directory 拆分区域与子域域名