我们有一个 Windows 2012 域,其中有 2 个不同的站点通过 vpn 连接。
站点 1 有一个带 dns 的 dc,站点 2 有两个带 dns 的 dc
大多数 DNS 区域都集成到 AD 中,因此更改会反映在所有 3 个 DNS 上。
站点 1 和站点 2 都拥有更多子网(请考虑 lan 和 dmz),而 vpn 仅将 lan 链接到 lan。在两个 dmz 中都有可从互联网访问的服务器,因此无需为站点之间的每个子网组合添加其他 vpn。
我想要实现的是,如果我在同一个站点,则通过其私有地址访问 dmz 服务器,如果它在另一个站点,则通过关联的公共 IP 访问 dmz 服务器。
因此,名称解析应该根据客户端所在的站点而有所不同。也许我可以创建未集成在 AD 中的区域,这样它们在每个 DNS 上都可以不同。
我假设 site1 上的客户端将首先询问 site1 上的 dns,否则此配置将不起作用。
站点 2 有两个 DNS:我是否必须手动将它们与非 AD 集成区域对齐?我可以用主/次/存根区域做一些神奇的事情吗?
答案1
升级到 Server 2016 后,您可以使用 Windows DNS 服务器实现此目的。在该版本中,您可以使用DNS 策略实现裂脑DNS。
如果做不到这一点,您可以通过从 AD 集成区域中删除 A 记录,并在每个 DC/DNS 服务器上创建一个新的正向查找区域(非 AD 集成),然后创建一个空白的 A 记录,其中包含您希望为 DC/DNS 服务器主要服务的站点解析名称的 IP 地址。这不是万无一失的,也不可靠。
过去,我通过使用防火墙技巧实现了这一点(很抱歉,但我这样做已经好几年了),即将防火墙配置为将请求直接路由到已发布的资源,而不是尝试在防火墙上进行发夹弯。