我所在的公司在 AD 域上采用拆分 DNS 配置。我知道这不是理想的选择,但我无法推动这一领域的变革。我拥有不涉及 Active Directory 的权威 DNS(内部和外部),另一个团队拥有域控制器。
背景:
- 我们有一个名为的分割域
example.com
,它位于所有域控制器上。 - DC 被配置为对所有其无权管理的域使用转发器。
- 有一个子域 (
sub.example.com
) 使用记录委托给 DMZ 中的公共 IP 地址NS
。我需要消除这些 IP 地址,使用 DMZ 之外的内部 IP 地址。 - 可以从转发器访问新的 IP 地址,但不能从域控制器访问。
直观地表示如下:
example.com. (DCs are authoritative)
sub.example.com. (subdomain not managed by the DCs)
我希望将sub.example.com. NS
记录转换为条件转发器,以便将流量发送到标准转发器,但我们的域管理员告诉我,Windows DNS 不允许在正向查找区域内使用转发器。
这确实是不受支持的配置吗?其他 DNS 产品对位于权威区域之下的转发器没有问题,因此在转向其他策略(例如绕过转发器的每个 DC 的防火墙漏洞)之前,我想确保我使用的信息正确。(啊)
我已经评论过了在 Windows 2k3 中将子域的请求转发到另一台 DNS 服务器而公认的答案是建议NS
派代表团去,但这并没有回答这个问题。
答案1
首先我要声明一下,我不太熟悉 MSDNS 的具体细节。
首先,我可以确认,如果您尝试添加这样的转发区域(例如,作为常规区域存在的sub.example.com
转发区域example.com
),您会遇到此错误对话框:
---------------------------
DNS
---------------------------
A problem occurred while trying to add the conditional forwarder.
A zone configuration problem occurred.
---------------------------
OK
---------------------------
(Windows 自动生成出色的 ASCII 表示。)
然而,正如使用转发器文档(重点添加):
DNS 服务器无法转发其所托管区域中的域名查询。例如,区域 microsoft.com 的权威 DNS 服务器无法根据域名 microsoft.com 转发查询。如果将 example.microsoft.com 委托给另一个 DNS 服务器,则 microsoft.com 的 DNS 服务器权威可以转发以 example.microsoft.com 结尾的 DNS 名称的查询。
即,如果您sub.example.com
首先委托其他地方(限制区域范围example.com
),那么它允许您添加转发区域sub.example.com
。
这条路是否真的适合你,可能取决于你的情况的具体细节。
不管怎样,我确实注意到,MSDNS 似乎出于某种原因忽略了RD
转发区域的(需要递归)位(即,即使RD
未设置也会转发),因此看起来上面提到的委派实际上在该设置中是不可见的。