我希望在 Windows Server 上创建一个根域,它将仅为防火墙内托管的选定服务解析内部 IP,并将所有未解析的主机名请求转发到外部名称服务器。
例如,如果有人尝试访问 ERP 系统,https://erp.contoso.com
内部 DNS 将为 LAN 用户提供本地 IP,而外部用户将获得来自外部 DNS 提供商的公共 IP 地址。
然而,无论用户是否在局域网上,所有请求都https://firewall.contoso.com
将由外部 DNS 解析。
如何实现这一点?如果这个解释难以理解,我深表歉意,但我希望这是合理的。
答案1
选一个:
1)将所有内容从公共复制到私人
实际上是复制所有你想要的记录加上私人的记录,这是最痛苦和最常见的。
2)使用公共 ns 记录(委托区域)为内部服务器上的所有公共子域添加 NS 记录
firewall.contoso.com IN NS ns1.msft.net.
firewall.contoso.com IN NS ns2.msft.net.
3)将私有 IP 放在 wan 区域
有些人认为这是一个安全问题,否则这并不重要。
4)将 cname 根记录添加到拆分或仅本地的子域。
erp.contoso.com in CNAME erp.contoso.local
erp.contoso.com in CNAME erp.lan.contoso.com
本地区域
erp.lan.contoso.com IN A 10.0.0.10
5)仅为内部区域创建子域。(个人最喜欢的)
公共区域:
erp.contoso.com IN CNAME erp.lan.contoso.com
dns1.lan.contoso.com IN A 10.0.0.5
dns2.lan.contoso.com IN A 10.0.0.6
lan.contoso.com IN NS dns1.lan.contoso.com
lan.contoso.com IN NS dns2.lan.contoso.com
私人区域:
dns1.lan.contoso.com IN A 10.0.0.5
dns2.lan.contoso.com IN A 10.0.0.6
erp.lan.contoso.com IN A 10.0.0.10