我有一个多林环境,两个林都存在于同一个网络中。我希望它们之间的 DNS 尽可能顺畅地运行。正向查找很容易,可以用条件转发器来处理,但反向查找区域呢?这种设置有模式吗?我是否应该为每个林设置独立的查找区域,并且只设置重复项,我读到的所有内容都说永远不要这样做。
答案1
公司独有的私有 IP 空间的反向 DNS 应位于所有面向内部的生产 DNS 服务器同样可访问的 DNS 服务器上,以最大限度地提高唯一所有权。考虑到您的 AD 基础设施应实施的安全策略,如果没有充分的规划和复制,这个中央权威机构不太可能是您的 AD 服务器。
这并不是说您的 AD 服务器不应该具有反向权限。只需将其限制在实际需要的范围内(很少需要,就像 joe 在评论中所说的那样),并使用转发器处理其余部分,以确保反向记录的自动创建不会失控。
(免责声明:我很清楚,这些建议都是理想主义的,但大多数大公司经常忽略它们。这些公司还必须处理根据所使用的 DNS 服务器返回的不同 PTR 记录,而这些 PTR 记录在 IP 回收后很少得到妥善清理。简而言之,这是一个疯人院,除非您打算另作打算,否则它将永远如此。)