我所在的公司在 AD 域上采用拆分 DNS 配置。我知道这不是理想的选择,但我无法推动这一领域的变革。我拥有不涉及 Active Directory 的权威 DNS(内部和外部),另一个团队拥有域控制器。
背景:
- 我们有一个名为的分割域
example.com,它位于所有域控制器上。 - DC 被配置为对所有其无权管理的域使用转发器。
- 有一个子域 (
sub.example.com) 使用记录委托给 DMZ 中的公共 IP 地址NS。我需要消除这些 IP 地址,使用 DMZ 之外的内部 IP 地址。 - 可以从转发器访问新的 IP 地址,但不能从域控制器访问。
直观地表示如下:
example.com. (DCs are authoritative)
sub.example.com. (subdomain not managed by the DCs)
我希望将sub.example.com. NS记录转换为条件转发器,以便将流量发送到标准转发器,但我们的域管理员告诉我,Windows DNS 不允许在正向查找区域内使用转发器。
这确实是不受支持的配置吗?其他 DNS 产品对位于权威区域之下的转发器没有问题,因此在转向其他策略(例如绕过转发器的每个 DC 的防火墙漏洞)之前,我想确保我使用的信息正确。(啊)
我已经评论过了在 Windows 2k3 中将子域的请求转发到另一台 DNS 服务器而公认的答案是建议NS派代表团去,但这并没有回答这个问题。
答案1
首先我要声明一下,我不太熟悉 MSDNS 的具体细节。
首先,我可以确认,如果您尝试添加这样的转发区域(例如,作为常规区域存在的sub.example.com转发区域example.com),您会遇到此错误对话框:
---------------------------
DNS
---------------------------
A problem occurred while trying to add the conditional forwarder.
A zone configuration problem occurred.
---------------------------
OK
---------------------------
(Windows 自动生成出色的 ASCII 表示。)
然而,正如使用转发器文档(重点添加):
DNS 服务器无法转发其所托管区域中的域名查询。例如,区域 microsoft.com 的权威 DNS 服务器无法根据域名 microsoft.com 转发查询。如果将 example.microsoft.com 委托给另一个 DNS 服务器,则 microsoft.com 的 DNS 服务器权威可以转发以 example.microsoft.com 结尾的 DNS 名称的查询。
即,如果您sub.example.com首先委托其他地方(限制区域范围example.com),那么它允许您添加转发区域sub.example.com。
这条路是否真的适合你,可能取决于你的情况的具体细节。
不管怎样,我确实注意到,MSDNS 似乎出于某种原因忽略了RD转发区域的(需要递归)位(即,即使RD未设置也会转发),因此看起来上面提到的委派实际上在该设置中是不可见的。