我们有两个正向查找区域(intranet.com 和 mayberry.com),但实际上它们并未注册到我们这里。有时,我们的 MS DNS 服务器会将这些域内网络资源的查询转发给 OpenDNS,它是我们的转发器。
然后,OpenDNS 会使用其“未找到”页面的 IP 地址进行响应,因此会产生问题,直到我们刷新客户端的 DNS 并重试。
有什么方法可以确保这些域名仅由我们的 DNS 服务器解析?也许有办法阻止这些域名的转发或仅允许对它们进行权威回答?
谢谢您的帮助!
答案1
Microsoft DNS 服务器不会转发对其具有权威性的域的请求。我怀疑您在客户端计算机上指定了指向另一台 DNS 服务器(例如 OpenDNS)的“辅助”DNS 服务器,并且您定期从该辅助 DNS 服务器获取解析。
如果您处于 Active Directory 环境中,则任何加入域的计算机都不应在其 NIC 属性(无论是硬设置还是通过 DHCP 提供)中指定任何 DNS 服务器,该服务器引用未在您的某个域控制器上运行的 DNS 服务器。在您的 DC 上运行的 DNS 服务器应该通过转发器到另一台 DNS 服务器或通过根提示来解析林外部的名称。
编辑:
听起来就像您在说您在客户端上指定了一个不是域控制器的 DNS 服务器(即“我的网关”)。
不清楚您所说的“是 DC 的从属”是什么意思。假设 DC 的 IP 地址为“XXXX”,指定为辅助 DNS 服务器的“网关”的 IP 地址为“YYYY”,并且无法正确解析的内部域名之一是“foo.com”,请运行以下命令并比较输出:
nslookup foo.com X.X.X.X
nslookup foo.com Y.Y.Y.Y
输出应该匹配。如果不匹配,则“网关”解析内部域名的方式与域控制器不同,这就是您的问题。
只要“网关”能够像域控制器一样解析名称,那么将其用作辅助 DNS 服务器就没有问题。但是,如果它不能以完全相同的方式解析名称,则不应将其用作辅助 DNS 服务器。每次将 AD 集成 DNS 区域添加到 DC 时,您都需要配置“网关”以以相同的方式解析该区域中的名称。
答案2
如果 OpenDNS 返回答案(其“未找到”页面)而不是说没有答案,那么它就是在撒谎,但你无法控制这一点。
如果您的 DNS 服务器对某个域(区域)具有权威性,它将仅返回其所知道的内容。我从未见过任何 DNS 服务器在具有权威性时转发请求。
如果您的客户端有多个 DNS 服务器,其中包括您的 DNS 服务器和其他 DNS 服务器,那么当您的服务器说“无名称”或类似信息时,客户端可以选择其中一个服务器并得到答复。
以上所有内容适用于所有 DNS 服务器,无论是 MSFT 还是其他服务器。
答案3
您可以在 OpenDNS 控制面板中关闭该功能(某种程度上),或者更改为不执行该操作的转发器。Google DNS 运行良好(据报道),或者您可以运行自己的不依赖上游的递归服务器。
答案4
这似乎是 DNS 服务器中的名称解析问题。出于某种原因,当有人向您的 DNS 服务器查询上述两个区域中的地址时,您的 DNS 服务器会回复“我不知道,请询问 Open DNS”,这可能是因为您的正向查找区域与问题中两个域中的所有地址不完全同步。我会将您的区域列表与它们的域进行比较,以确保您的信息是最新的。
您可以进行一些双重冗余,以允许相关域使用多个查询路径。您有几个正向查找区域,这很好,但如果这些域有自己的 DNS 服务器,您也可以尝试将转发器放入专门针对这些域的 DNS 服务器中。
如果您转到 DNS 中的转发器选项卡,您可以点击“DNS 域”框下的“新建”按钮,并为您尝试访问的域添加特定条目。这会将这些条目添加到“对于所有其他 DNS 域”列表下。然后,您可以转到每个域并指定这些域中的 DNS 服务器的 IP 地址。