我在 NAT 后面有一个 DNS 和 Active Directory 服务器(我必须这样做)。在 DNS 服务器上,AD 会自动为私有 IP 地址添加 NS 记录。我如何设置策略来响应特定子网的本地 NS 记录?
abc.com
10.0.0.2 private
1.1.1.2 public
当我查询名称服务器时,它返回两个 NS 记录。
我需要这样的政策;
When query comes from 10.0.0.0/8 it should return 10.0.0.2 NS record
When query comes from any other ip it should retun 1.1.1.2 NS record
答案1
您可以使用 DisableNSRecordsAutoCreation 注册表值来禁用域控制器的自动 NS 记录注册:
Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: DisableNSRecordsAutoCreation
Value Type: REG_DWORD
Value Data: 0x1
您还应该使用 PublishAddresses 注册表值来防止您的外部/公共地址被内部公布。
Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: PublishAddresses
Value Type: REG_SZ
Value Data: ip address(es), separated by spaces if multiple
为了完全支持这些要求,您可能能够利用 Windows Server 2016 DNS 的新功能。请参阅以下内容:
https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/what-s-new-in-dns-server
DNS 策略
你可以使用 DNS 策略进行基于地理位置的流量管理、基于一天中的时间的智能 DNS 响应,以管理为裂脑部署配置的单个 DNS 服务器、对 DNS 查询应用筛选器等。以下项目提供了有关这些功能的更多详细信息。
基于地理位置的流量管理。 你可以使用 DNS 策略允许主 DNS 服务器和辅助 DNS 服务器根据客户端和客户端尝试连接的资源的地理位置响应 DNS 客户端查询,并为客户端提供最近资源的 IP 地址。
裂脑 DNS。使用裂脑 DNS,DNS 记录会拆分到同一 DNS 服务器上的不同区域范围中,DNS 客户端会根据客户端是内部客户端还是外部客户端来接收响应。您可以为 Active Directory 集成区域或独立 DNS 服务器上的区域配置裂脑 DNS。