我有两个独立域,需要在它们之间建立单向非传递信任。域 1 ( clientdomain.local) 具有 的本地子网192.168.4.x,域 2 ( hosted.local) 具有 的本地子网172.24.19.x。
这两个网络通过防火墙通过 VPN 连接。问题是192.168.4.x子网已经在托管环境中使用,因此我们让它们通过 NAT 连接到6.6.200.x
我通常会在每个域上设置指向其他域的 DC 的 DNS 存根区域,然后设置我的信任。在这种情况下,我可以这样做,但记录会clientdomain.local显示192.168.4.x地址,我需要它们解析为6.6.200.x地址。
我尝试添加新的主查找区域并手动添加 DC 的 A 记录和 A 记录,clientdomain.local但尽管如果我使用 FQDN,名称解析对 DC 有效,但我无法让解析对域本身有效。当然这是必要的,因为当您设置信任时,它会询问您正在设置信任的域并尝试联系它。
有什么想法可以“欺骗” DNS 来报告其中一个6.6.200.x地址吗clientdomain.local?
答案1
最好的办法是查看域 控制器文件夹netlogon.dns中的文件,并根据该信息确定标准主区域。编辑该文件中的 IP 地址以匹配您的 NAT 子网(谁想出了 6.6.200.0/24?我想您可能永远不需要与美国陆军交谈,是吗?),从托管环境中删除您不想与之交谈的 DC 的任何引用,并在DNS 服务器上的标准主区域中创建适当的记录。这应该可以满足您的需求。请记住,如果域中发生重大变化,您可能需要重新导入文件。%SystemRoot%\system32\configclientdomain.localhosted.localclientdomain.local
对于域本身,您需要为应解析域名的 DC 的每个 IP 地址设置一个“@”主机记录(空白主机名)。(在 Netlogon 服务创建的 DNS 记录中全部分配给所有 DC 的 IP 都会列在域的“@”记录中。不过,你可以使用更少的 IP。)