我有一个网络设置,其中有一个名为 internal.domain.org 的 2008 R2 AD 域。我们的外部托管网站使用 www.domain.org 和 domain.org。我希望用户能够使用相同的域名(无论是在 LAN 内部还是外部)访问我们的 RDS 服务器(machinename.internal.domain.org)。这将是 remote.domain.org。从外部访问很容易,但在内部访问我却不知所措。尝试拆分 DNS,很容易将 remote.domain.org 连接到内部 RDS 计算机,但它会中断从 LAN 内部访问外部网站。
问题似乎是,当我创建一个名为 domain.org 的正向查找区域时,它会出现一个名为 internal 的子文件夹,而不是正常的文件夹集。我添加了 * 和 www 的记录,但无法访问外部。我在这方面超出了我的能力范围。有什么想法吗?
谢谢,
答案1
使用分割 DNS(水平分割),但不要在运行 Microsoft 软件的服务器上使用 - 它不起作用。
在本地 DNS 递归器/缓存器上,您通常可以为 FQDN 创建特定的覆盖,以映射到不同的 IP。这会将一个 CI 添加到您的 CMDB,这并不罕见或复杂。
根据您的设置,您通常在网络网关系统上执行此操作。例如,在 pfSense 上,可以使用底部的 Services->DNS Server 中的 GUI 完成此操作。由于您没有发布您正在使用的内容,因此我无法为您的系统提供示例。
详细说明我的答案:
这恰恰说明了为什么水平分割 DNS 有效且必不可少。如果您有多个服务入口点,需要不同的 IP 才能访问,并且您使用 FQDN 来访问,那么 DNS 就是解决这个问题的正确方法。
通常,根据您的员工的工作地点,会出现 3 种非常常见的情况:
- LAN 上实际可访问 RDS 的本地 RDS
- 通过 WAN 进行 RDS,需要使用 WAN IP(然后通过 NAT 转换为 RDS 的 LAN IP)
- 通过 VPN 进行 RDS,其中 VPN 位于其自己的子网中,并且可能有权访问 LAN,也可能无权访问 LAN
有时存在多个 VPN 连接或隧道,这会使事情变得更加复杂。在许多情况下,这可以通过路由和防火墙来解决,但这会产生太多的配置项,以至于每次您需要配置一个可从多个位置访问的服务时,您的 CMDB 都会被无意义的内容淹没。
在许多设置中,Windows 服务器需要授权的区域可以简单地在主路由器、网关或 DNS 服务器上配置,这样您就可以拥有一个高性能的单点配置来满足您的所有 DNS 需求。唯一的缺点是,如果客户端需要将区域传输或远程 DNS 更新到默认 DNS 服务器,它将不再起作用。然而,在客户端-服务器设置中通常不再存在这种情况。
在这种情况下,拆分DNS的工作方式如下:
- 公共 DNS 保存 WAN 连接的 A 记录
- 内部 DNS 保存特定 FQDN(remote.example.com)的覆盖 A 记录
由于只需要两个不同的 DNS 记录(公共和 LAN),因此配置起来简单可靠。不需要像 BIND 那样的视图,也不需要 PowerDNS 的视图实现,也不需要支持重写的 Unbound。Microsoft DNS 中未实现视图和拆分 DNS,因此在这种情况下不提供此选项。(请参阅http://en.wikipedia.org/wiki/Comparison_of_DNS_server_software以供比较)
其次:如果您有 pfSense,您可以简单地创建一个基于 IPSec 或 OpenVPN 的 L2TP 隧道,以便人们可以进行远程访问。虽然它确实需要在客户端系统上安装软件,但它消除了对 WAN 可访问 RDS 的需求。