我遇到了一个客户站点 Windows DNS 服务器,其外部域位于 AD 服务器上的正向查找区域中。这里有一些 A 和 CNAME 记录,我们真的不想公开。我想知道,如果它没有对此域的查询的答案,比如搜索 autodiscover.domain.com,我们是否可以将 DNS 配置为指向其 SOA 的上游。
上游是受网络托管公司控制的 BIND DNS。我不想转移区域并覆盖这里的静态条目,如果我们不知道,只需联系上游即可。
这可能吗?机制是什么?这实际上不是拆分 DNS。我修改了 SOA 记录,但如果它不知道,它就不会向上游进行递归查询。
谢谢,
答案1
DNS 服务器是该区域的权威服务器。任何针对区域记录的查询都将由该服务器回答。如果没有记录与查询匹配,则服务器将使用 NXDOMAIN 进行响应。Windows DNS 不会将查询转发到上游服务器。
您可以为每个记录创建一个区域,并在区域中为每个记录应解析的 IP 地址创建一个“顶点”A 记录。这将使服务器仅对这些“子域”具有权威性,并且服务器会将父域的所有查询转发到外部 DNS 服务器。
因此...您将创建一个名为的区域www.domain.com,然后在该区域中创建一个“apex”A 记录,其中包含www.domain.com应解析的 IP 地址。对其他记录进行重复。
答案2
最简单的做法是手动将所有内容从托管公司 DNS 复制到 AD DNS。如果您很少更改托管公司 DNS,这是最省心的方法。
这个问题的根本原因是 AD 域与公共域匹配。解决此问题的正确方法是将 AD 设置为子域。使用 greenfield 实现,这很容易。将现有 AD 迁移到子域很困难。