在某种“下一跳”场景中,我该如何将 DNS 查找转发到非授权区域?
设置如下:
一个 ADDS 域 (contosob.local) 包含两个 DNS 服务器,这些服务器需要能够查找另一个 ADDS 域 (contosob.local) 的记录,但这些服务器无法直接通信。这只是为了安全,而不是因为子网冲突。
但是,还有另一个域 (notconsoto.local) 可以与 contosoa.local 域和 contosob.local 域通信。此域内的 DNS 服务器有一个存根区域,它将所有对 contosob.local 的查找转发到其 DNS 服务器。这一切都按预期工作。
但是,我仍然需要 contosoa.local 来查找 contosob.local 的记录。我尝试创建另一个存根区域,将查找指向 notcontoso.local 中的存根区域,但由于这不是一个权威区域,因此被拒绝。
我如何通过 notcontoso.local 从 contosoa.local 跳过 DNS 查找?我尝试将 contosob.local 的 DNS 服务器之一添加到所需主机上的 DNS 客户端,但是这不起作用,因为 Windows 似乎不会循环查找列表中的那么远。
答案1
这当然是个别案例,但在我的家庭实验室进行测试后,似乎可以通过这种方式设置条件转发器。
因此,contosoa.local 有一个条件转发器,用于将 contosob.local 转发到 notcontoso.local,notcontoso.local 有一个条件转发器,用于将 contosob.local 转发到 contosob.local。从 contosoa.local 发出的对 contosob.local 的 DNS 查询将“流经”notcontoso.local。
我已经成功测试了这一点并通过 Microsoft 网络监视器确认了流量流。
请注意,在设置时,如果向导提示 DNS 服务器不具有该区域的权威性,则无论如何都要添加它。在 contosoa.local 和 notcontoso.local 中设置“链式”条件转发器后,从 contosoa.local 到 contosob.local 的 DNS 查询应流经 notcontoso.local。