我有一个包含许多不同子网和 VLAN 的网络。其中一些是专用服务器区域,其他用于客户端或简单的传输子网。我们使用 MS Active Directory、MS DHCP 和 MS DNS,它们都正常协作,主机名自动从 DHCP 添加到各自域中的 DNS。我们的服务器静态添加到 DNS 中,因为它们不使用 DHCP。
我们的客户端和服务器区域基本上分为公共、内部或安全。这些区域之间的流量自然受到严格限制。内部和安全区域中的客户端和服务器是同一域的成员,并且每个区域中都有共同托管的 DC 和 DNS 来处理区域本地流量。同一域中的所有 DC 和 DNS 服务器都相互同步。
我们看到的问题是,当客户端或服务器使用内部区域 DNS 解析域(例如:ad.company.com)时,我们也会解析安全区域中的 DC,反之亦然,安全区域会获得内部 DC 以及区域本地。
MS DNS 上是否有一种方法可以仅使用该区域的地址来回复来自安全区域的请求,并且对内部区域也采取类似方法?我正在设想一种 IP 过滤器或规则集,它可以定义来自 ex 192.168.10.0/24 的请求将获得 192.168.10.10,而 192.168.20.0/24 将获得 192.168.20.10 作为解析答案。
拆分域以使我们能够拥有单独的域名并不是一个选择。我们的系统也非常复杂,因此我们并不完全了解哪些系统需要 DNS 的权威答案,所以我们真的无法设置一个断开连接的 DNS 服务器来转发到域。
有人可以给我一些关于如何解决这个问题或以好的方式解决这个问题的建议吗?
谢谢你!
编辑:
问题不在于基于 Windows 的服务,而在于第三方应用程序,例如 Radius 服务器、执行 LDAP 搜索和身份验证等的应用程序和网站。
答案1
由于您的 DC 都是同一域的成员,因此在域上进行主机查找将循环所有记录,无论它们是在您的安全区域还是本地区域中。但是,如果您已创建单独的站点并在 AD 的站点和子网 MMC 中关联了正确的子网,则客户端应该在其各自的区域/站点中使用 DC。
您是否看到了实际的身份验证问题?