DNS 和加入域

DNS 和加入域

以下是我的情况。我有一个安装了 DNS 的 2012 Active Directory 服务器。我还有一个 sonicwall nsa 240 路由器,我将其用作 DHCP 服务器。在 sonic wall 上,我将 dns 条目设置为以下内容:

主 - 172.16.0.6(DNS服务器的IP)辅助 - 4.2.2.1

一切正常,我甚至可以在客户端计算机上加入域。但是,如果我尝试访问我们托管的 Web 服务器 sam.sightly.com,我的浏览器会返回,提示无法显示页面,并要求检查我的 DNS 设置。但是常规互联网浏览可以正常进行

如果我翻转 DNS 条目并转到:

主 - 4.2.2.1 次 - 172.16.0.6

我的问题消失了,但我无法再加入该域,而且我可以访问 sam.sightly.com

提前致谢。

答案1

您所做的就是创建了一个裂脑 DNS 命名空间。这很糟糕。

首先,让我们确定一些事情。

  1. 您应该拥有多个域控制器。

  2. 您应该运行 DNS至少您的两个域控制器。

  3. Active Directory 客户端(您内部加入域的 PC)应该仅有的指向 DC 的 DNS。

为什么会发生这种情况?

好的,既然已经解决了这个问题,让我们来谈谈您遇到这种情况的原因。您似乎有一个名为 的内部 Active Directory sightly.com。听起来这也是您公开注册的网络存在。域控制器拥有其持有的 DNS 区域的 SOA 和 NS 记录。它们对该区域具有权威性。这意味着任何使用它们进行 DNS 的内部客户端都会假定您的 DC 具有全部区域中的主机sightly.com。如果您有一个名为 的公共网站,sightly.com该网站由外部托管,您会注意到,除非您为其配置了子域,否则您的内部客户端也无法访问该网站www.。这是因为您的域控制器将自己注册sightly.com与父级相同DNS 中的 A 记录。

因此,您可以看到这里存在问题,因为您现在有两组 DNS 服务器,它们认为它们对同一区域具有权威性。除非您在每个 DC 上运行 Web 服务以将流量重定向到外部(实际上不要这样做,这很糟糕),否则sightly.com您将永远无法访问外部域,sightly.com除非您在域控制器的区域副本上复制外部 DNS 记录。www.sightly.comsightly.com

如何修复它?

  1. 将您的 Active Directory 域名更改为 的未使用子域sightly.com。例如internal.sightly.comad.sightly.com。如果您已加入很多计算机并配置了 GPO,这可能不是最好的选择。但听起来,情况并非如此。说真的,如果可能的话 -重来并正确命名您的 AD。我写了一篇博客文章问答关于命名 Active Directory。我强烈建议您在做其他任何事情之前先阅读这些内容。

  2. 如果您不能或不会重命名现有域(我仍然认为您应该这样做),那么您必须在内部 DNS 区域上为 中的每个外部资源创建重复的 DNS 条目sightly.com。因此,在云中的某个地方,您可能有一个 DNS 主机,用于跟踪sam.sightly.com和每个其他外部资源的 DNS 记录。您现在必须保留复制您的域控制器上记录所有这些内容。


总结
在您的内部 DNS 上保留重复记录或重命名您的 AD 域。如果我是您,我会尽可能重命名。

答案2

当然。因为您的内部 DNS 服务器对 sightly.com DNS 命名空间具有权威性。当使用内部 DNS 服务器的客户端请求 sam.sightly.com 时,DNS 服务器无法在其 sightly.com DNS 区域中找到该名称的 DNS 记录。您需要做的是在内部 sightly.com DNS 区域为 sam (sam.sightly.com) 添加一个 DNS 记录,指向 sam.sightly.com Web 服务器的外部 IP 地址。

相关内容