我有一个包含四台名称服务器的域(两台在防火墙后面,两台在公共网络上)。我们需要将两台服务器置于防火墙后面。这在将新设备上线时会造成问题,因为有时需要在实施防火墙例外之前进行此操作。
如果我配置使用 LDAP 身份验证的设备以指向 example.com,它们有时会选择防火墙内的名称服务器,有时会选择防火墙外的名称服务器。如果它们选择防火墙内的名称服务器,身份验证就会失败,并且设备会变砖,直到我可以硬重置它为止。
有没有办法配置哪个服务器响应诸如“ping domain.com”之类的请求?
我猜是有的,但我不知道该怎么做。谢谢您的帮助!
编辑:只是为了澄清一下,我知道这不是最佳实践,但这超出了我的控制范围。我的目标是使用“domain.com”作为我的 LDAP 服务器,因此设备应该被定向到多个 AD 服务器之一进行身份验证。我无法输入用逗号或类似符号分隔的值以允许它自己指向多个服务器。到目前为止,听起来似乎无法限制,但我想我会进一步解释。
答案1
您只能使用外部、公开的名称服务器来注册域名。对此不作讨论。
可能存在一个理由1, 即在您的内部网络中为域的顶部(整个example.com)设置权威名称服务器,但它们不应列在您的公共 DNS 中。正如您已经体验到的那样,这会破坏一些东西。
您的内部系统应使用内部解析器(而不是您的 ISP 或公共服务(如 8.8.8.8 和 8.8.4.4)的解析器)。该内部解析器是(指向)区域内部版本的权威名称服务器 example.com。
结果:内部系统可以看到内部 IP 地址,外部系统只能看到您的公共 IP 地址。
脚注 1 没有。这是会给你带来麻烦的临时解决方案。你配置一个子域供内部使用,例如intranet.example.com只能在内部找到的子域,并且明确配置你的内部系统以使用内部资源。