我有以下情况:
- 来自单个 PDC+DNS 的全新 ADDS 域。
- 该域的 FQDN 与我们的公共网站名称 (webname.com) 相匹配。
- 网关指定 PDC/DNS 作为第一个 DNS 解析器。辅助 DNS 是网关和 PDC 的公共实体,如 8.8.8.8。
这样,我们在导航到我们的网站 tld.com 时就会出错。这是有道理的,因为 PDC 有一个针对 webname.com 的正向查找区域和自定义 A 记录等。
问题:除非在 PDC/DNS 条目中创建,否则 DNS 记录(如我们的 MX 记录)现在无法在内部网络上解析。如果我们不将 PDC 声明为第一个 DNS 解析器,我们将无法在内部加入域和解析主机名。
我可以手动克隆所有记录并保留两个副本,但有没有更好的方法?我仍然需要本地 PDC/DNS 来内部处理 FQDN 设备名称 (device.webname.com) 的 DNS,但我希望所有其他 DNS 请求都发送到 Web,以便内部识别公共 DNS 记录更改而无需手动复制。有没有一种优雅的方法来做到这一点?
我尝试在 PDC 上添加辅助名称服务器以指向公共 DNS NS,但似乎没有任何区别。使用网络内部的 nslookup 进行测试表明,例如在查找 MX 记录时,我仍然没有触及外部 NS。
谢谢。
答案1
因为你有...
来自单个 PDC+DNS 的全新 ADDS 域。
...确实有更好的方法。更改 AD 域名以满足内部域名和网络名称的最佳实践。不要将外部域example.com用作 AD 域,但ad.example.com改用类似。
简短的回答,作为最佳实践:
- Microsoft 强烈建议您注册一个公共域并对内部 DNS 使用子域。
- 因此,请注册一个公共 DNS 名称,这样您就拥有它了。然后创建供内部使用的子域(如 corp.example.org、dmz.example.org、extranet.example.org),并确保您的 DNS 配置设置正确。
文章还列出了使用单个命名空间(用于内部和外部主机)。
我们还有一个典型问题为了Windows Active Directory 命名最佳实践。