假设我有一个内部 LAN (LANA),带有 AD/DHCP/DNS,与互联网隔离,没有默认网关。因此,其 DNS 服务器 DNSA 是非递归的。一些服务器还具有第二个 NIC,连接到单独的 LAN/子网 (LANB),该 LAN/子网确实具有连接到互联网的默认网关路由器/防火墙。因此,它们还配置了一组公共递归 DNS 解析器 (DNSB)。
网络地图http://christoph.ruegg.name/storage/img/dualdnsnetwork.png
有一段时间,具有两个 NIC 的服务器能够以某种方式使用两个名称服务器进行解析(或者只是由于缓存而偶然起作用)。但现在它们似乎只使用 DNSA 来解析名称,在(显然)无法解析任何互联网域名后,不会在 DNSB 上重试 - 因此它们无法再解析互联网域名。
Windows Server DNS 似乎无法转发到它无权访问的外部 DNS 服务器(即未启用递归解析)
这种网络布局能否可靠地工作,还是我必须将 DNSA 也附加到 LANB 并将其转换为递归解析器?或者还有其他方法,例如使用条件转发器?(我更愿意完全隔离某些服务器,尽管我当然知道如果其中一台双网卡服务器被黑客入侵,这无济于事)
答案1
我的 TS 服务器也有类似的设置,每个服务器都有两张 NIC 卡,一张通过 DG 连接到互联网(配置为不在 DNS 中注册),另一张连接到没有 DG 的 LAN(配置为在 DNS 中注册)。问题是两个 NIC 都使用同一组递归 DNS 服务器进行内部和外部 DNS,因此如果内部和外部 NIC 卡使用不同的 DNS 服务器,我无法确切地告诉您它将如何工作。
我从未使用 AD 域进行过此操作,但我会尝试以下操作:
从双 NIC 服务器的 TCP\IP 配置中删除 DNSA,以便它们仅使用 DNSB 进行 DNS 解析。
设置 DNSB 以使用 DNSA 作为 DNSA 托管的 AD DNS 域的条件转发器。
这将允许双 NIC 服务器通过 DNSB 进行外部名称解析,并通过 DNSA 进行内部名称解析,因为 DNSB 会将对 DNSA 区域的任何请求转发给 DNSA 进行解析。
需要注意的是双 NIC 服务器仍然可以通过 DNSB 使用 DNSA 与 AD 域进行通信、验证、解析和注册。
如果您以另一种方式执行此操作,即将 DNSA 配置为使用 DNSB 作为所有其他域(AD DNS 域除外)的条件转发器,那么这将允许 LANA 上的所有客户端通过 DNSB 作为条件转发器进行外部 DNS 解析,而这可能是您不想要的。