这可能是一个不寻常的问题,但我想知道这是否可能。
防火墙后面有几个安全区域,我们称之为 LAN、DMZ 和后端。
DMZ 区域中有一个 DNS 服务器(绑定,服务器名称为 ns1.domain.com),设置为拆分 DNS。即,它将 domain.com 公共地址解析为来自 Internet 的请求,并将同一 domain.com 域的私有 NAT 地址解析为来自 LAN 和后端的请求。
一切正常,但是现在我将 Windows 2008 AD 引入后端,因为服务器基数增长,管理 SAM 数据库不再是一种选择。Windows 域名是 DOMAIN.COM。我意识到这种设置可能会令人困惑,但这样做是为了让命名部门的事情变得简单。
当然,这需要使用位于同一 AD.DOMAIN.COM 服务器上的 Windows DNS。
此服务器上的 DNS 区域工作正常,我已为 ns1.domain.com 设置了转发器,用于任何与互联网相关的查询。
现在的问题是。如果我想从后端的 Windows 主机解析位于 DMZ NATed 子网中的主机(即使用裂脑 DMZ 的内部部分),我如何确保对 whatever_is_not_in_windows_domain.com_zone“。domain.com 的请求被转发到内部裂脑 DMZ?这可能吗?我意识到我可以将它们硬编码到 Windows DNS 服务器区域中,但这看起来像是一种解决方法,而不是解决方案……
希望我说得足够清楚 :)
答案1
我认为这是不可能的,AD.DOMAIN.COM 认为它是此域的权威来源,无论如何都会以 NXDOMAIN 做出响应。
我真的建议您创建一个子域来放置您的 AD。随着您的设置的增长,这将成为一个更大的问题,手动将主机添加到两个区域似乎不是一件好事。
可以使用 BIND DNS 服务器运行 Active Directory。
您可以合并区域并允许从 AD.DOMAIN.COM 服务器进行更新。
但是,这要求 DOMAIN.COM 区域为动态区域。
答案2
我认为这是不可能的。后端 Windows DNS 服务器是 domain.com 的授权服务器,因此不会将对 domain.com 的请求转发到另一个 DNS 服务器。我认为您唯一的选择是将 DMZ 计算机的静态条目添加到后端 domain.com 区域。