我们有 6 个不同的 AD 站点,它们都通过 IPSec 隧道以全网格形式连接,除了一个办公室,由于目前无法修复的愚蠢的 ISP 相关原因,它无法连接到我们的数据中心。我们有 AD 集成 DNS,并且有两台具有公共 IP 的 Web 服务器,它们在我们的 AD 站点之间复制内部地址,并通过 IPSec 隧道进行访问。由于这两台服务器都在我们的 DC 中,因此无法连接到 DC 的站点无法访问这两个站点。
我们需要将 AD DNS 的其余部分复制到此站点,因此删除复制不是一种选择。这些站点也位于我们主域的 DNS 中,并且将它们更新为使用备用名称或备用域后缀不是一个可行的选择,因为它会破坏此办公室的链接。
有没有办法让这个站点使用备用 DNS 记录而不是在 AD 中复制这些记录?
我最好的选择是将该站点中所有客户端/服务器计算机进行 GPO,以将这两个主机的公共 IP 添加到本地主机文件中吗?
这不需要永久、优雅的修复,因为我们很快就会更换 ISP。我只需要一个在中期内对这个办公室来说稳定可靠的系统。
需要澄清的是:多伦多和纽约可以与东京、彼此以及数据中心通信。东京可以与多伦多和纽约通信,但不能与数据中心通信。我们在每个站点都有资源以及 AD 复制,需要从所有其他站点访问。
其中两个资源位于我们的数据中心,具有公共 IP 和内部 IP,并在内部和外部使用相同的主机名。该主机名集成到我们的 Active Directory DNS 中。从纽约和多伦多对这些站点的所有访问都是通过内部 IP 地址进行的。
我们需要东京通过其公共 IP 而不是其内部 IP 访问这两个主机。我们不能使用不同的主机名,因为这些站点与我们的其他应用程序、通信等高度集成。
答案1
如果我正确理解了您的问题,则需要两个不同位置的两个 DNS 服务器来对同一查询做出两个不同的响应,每个响应特定于其位置;此记录位于在两个 DNS 服务器上复制的 AD 集成区域中,并且您只想关闭此记录的复制,以便您可以从不同的服务器发出不同的答案。
如果是这种情况,您的解决方案是创建一个子域而不是 A 记录,并在两个服务器上将其配置为主要区域,而无需 AD 集成;然后在每个区域上创建一个指向正确 IP 地址的未命名记录;未命名记录会响应对区域名称的请求,因此它实际上相当于顶级区域中的 A 记录。
例子:
您的域是domain.local;这是一个 AD 集成区域。
您在站点 1 中的 DC/DNS 称为 DC1。您在站点 2 中的 DC/DNS 称为 DC2。您的记录是server.domain.local;如果请求 DC1,您需要它指向 10.20.30.40,但如果请求 DC2,您需要它指向 192.168.90.42。
- 在 DC1 上为(子)域创建一个标准主区域
server.domain.local;然后,在此区域中创建一个指向 10.20.30.40 的未命名 A 记录。 - 在 DC2 上为(子)域创建一个标准主区域
server.domain.local;然后,在此区域中创建一个指向 192.168.90.42 的未命名 A 记录。
这样,当向 DC1 发出请求时server.domain.local,它将回答 10.20.30.40;如果对 DC2 进行相同查询,它将回答 192.168.90.42。
答案2
您可以执行以下操作:
- 创建新的 DNS 应用程序目录分区。
- 将应用程序分区的复制范围限制为仅需要覆盖的 DC。
- 在新的应用程序分区中创建一个新的正向查找区域。
- 在区域中创建一个空白记录以供覆盖。
说实话,我从来没有这样做过,但这似乎是实现你具体要求的方法。测试一下。
当然,这有点儿太老套了。你能发个图表之类的东西吗?我觉得应该有一个更简单的答案。