我正在尝试在 Server 2012 R2 上设置 Active Directory 网络,并希望 AD 的 DNS 仅在内部使用(例如:domain-controller.company.com)以及一些需要内部和外部可访问性的记录(例如:mail.company.com)在内部网络上使用内部 IP,最后一些只需要外部访问的记录。
我能想到或查找到的唯一解决方案是使用处理所有内部记录的子域,并使用普通的 company.com 域来处理所有外部记录。这两种方法似乎都意味着我必须分别管理两个 DNS 服务器。这两种方法都是最好的方法吗?还是我哪里搞错了?
答案1
强烈建议您创建单独的内部和外部 DNS 区域,以避免向整个互联网泄露有关拓扑的所有细节。通过将数据分开保存可以最好地降低风险。此外,通过将面向公众的 DNS 与 AD 及其自动更新功能隔离,您可以防止另一种可能用于劫持您的记录的机制。
无需完全拆分 DNS 即可实现此目的的方法是使用视图或拆分水平 DNS,但 Windows 不支持此方法。因此,无论哪种方式,您都必须管理第二组 DNS 服务器。
此外,您可以在内部和外部使用同一个域,但包含不同的数据(基本上是水平分割),或者使用子域。这是您的选择。有关更多信息,请阅读Windows Active Directory 命名最佳实践?。