我有 70-80 台没有 DNS 的自助服务终端类型的机器。我们这样做是为了让这些机器的用户无法访问 hosts 文件中未列出的互联网资源。当然,他们可以通过 IP 地址访问,但这不是问题。
我们很快就要转向 AD,我不确定如何处理这些机器。一些想法:
为他们配置一个 BIND9 DNS 服务器,并让其提供正确的记录,以便客户端可以找到域控制器。不确定这是否会有问题。
在 DNS 服务器上禁用递归和转发。让需要解析 Internet 地址的客户端使用两个 DNS 服务器。一个 AD 和一个辅助 DNS 服务器,它是不执行 AD 的缓存 DNS 服务器。(不确定这是否会起作用,而且似乎使用非 AD DNS 不是一个好主意)。
让域中的一个 DNS 服务器仅处理本地事务,另一个处理互联网事务。我不知道这怎么可能。我可以为域禁用递归,但不能为单个服务器禁用。
我倾向于解决方案 1,因为我认为这是唯一可行的方案。我不打算使用 DDNS,只是输入正确的 SRV 记录。我假设这会起作用。还有其他想法吗?
答案1
选项 1 是一种可行的方法。只要您填充所有正确的 SRV 记录,XP 域成员就可以很好地与 Bind 配合使用。假设您要对域的其余部分使用 AD 自己的集成 DNS,那么管理起来应该不难,但是您也可以使用非集成 MS DNS(未安装在 DC 上)而不是 Bind,但您必须禁用根提示 [按照这个]。
选项 2 不起作用。XP 客户端上的辅助 DNS 服务器仅在第一个 DNS 没有响应时才会使用,如果第一个 DNS 响应失败,但该响应仍算作响应。
选项 3 已在我对问题 1 的回答中提及。
一般来说,在域中使用非 MS DNS 是可行的,但它几乎总是比它值得的要多得多(IMO)。
答案2
AD 需要 DNS(没有其他选择),并且与 AD 集成的 DNS(即 MS 动态 DNS)配合使用效果最佳。您需要坐下来重新考虑如何阻止未经您的自助服务终端批准的站点。
在我看来,最明显的解决方案就是不要将自助服务终端添加到您的 AD 中,而是继续保持原样。您似乎对此没有任何问题,并且至少对情况有所了解,而且我认为不需要添加它们,所以为什么不呢?
答案3
请不要在 Windows 客户端环境中使用 BIND-- 这很麻烦,你会破坏一些东西,而且不得不花很多时间做一些通常由于 AD 动态 DNS 而自动完成的事情。用 DNS 解决这个问题就像用大锤去挂一幅画。
查看免费Windows SteadyState工具。SteadyState 是一款免费工具,专为为图书馆、学校和信息亭实施共享计算机的人员而设计。您可以设置各种政策,包括限制所有互联网访问和将特定网站列入白名单。
答案4
这是一个想法(尽管听起来很古怪),你必须测试它看看它是否有效:
我的假设是,您允许他们访问某些网站,因为您正在向 hosts 文件添加条目。基于这一假设,我的想法如下:
在您的 DC 上设置 AD 集成 DNS。
在 DC\DNS 服务器上禁用递归。
在 DC\DNS 服务器上为允许用户访问的域设置条件转发器。例如,对于 Google,为 google.com 设置条件转发以使用 ns1.google.com、ns2.google.com 等。
这将允许用户访问您“授权”(通过添加条件转发器)的域,并阻止所有其他外部域。您可以通过对每个域运行 NS nslookup 来查找每个“授权”域要使用的转发器。
这似乎是最简单的解决方案。您的内部 DNS 并不复杂,它允许您仅使用单个 DC\DNS 基础架构,而不必尝试管理多个 DNS 服务器(内部解析服务器和外部解析服务器),并且允许您使用相同的 DNS 设置配置每个客户端,从而使客户端配置保持简单。