来自不受信任域的外部受信任域区域的 DNS 条件转发器

来自不受信任域的外部受信任域区域的 DNS 条件转发器

我在一家国际公司工作,我工作的工厂有自己的本地域,该域与公司主域具有外部信任,因此这些用户也可以在我们的域上进行身份验证。我继承了该设置,并想对 DNS 转发器进行一些更改。

我们的本地域名:our.domain.name。company.com
公司域名:name1.sub1。company.com(我们的信任在这个域名上)
name1.sub2。company.com
无论如何.sub3。company.com
company.com(用于内部网和公共站点等)

正如你所见,所有结局都一样company.com

我们目前已将公司 DNS 服务器设置为转发器,其运行良好,但每个不针对我们本地域的查询都被转发到他们的 DNS 服务器(例如 google.com 等)。

货运代理

我们想要的是所有针对 our.domain.name 的查询。company.com由我们自己的 DNS 服务器处理对 * 的查询。company.com(因此这包括company.com和每一个潜艇。company.com除了 our.domain.name。company.com) 需要转发到公司 DNS 服务器,并且每个其他查询(google.com、serverfault.com 等...)都应发送到例如 Google DNS 服务器。

实现此目标的最佳方法是什么?
我们是否应该删除公司 DNS 服务器作为转发器,并将 Google DNS 服务器放在那里,然后创建条件转发器为了company.com如果是
,那么只需为company.com或者我们需要为每个需要转发到其 DNS 服务器的(子)域添加条件转发器?或者可能只需创建一个正向查找区域为了company.com并将其服务器添加为 DNS 服务器(我们确实有几个 _msdcs.sub1。company.com,名称1.sub2。company.com,我们的域名。company.com, sub1。company.com,我们的外部。company.com在这里但这不应该冲突)?

或者我是不是想太多了,有没有更简单的方法来实现这一点?

任何帮助是极大的赞赏!

编辑:添加所需的 DNS 流

DNS 流

编辑:按照强线的回答:

在此处输入图片描述

答案1

公司总部应拥有并托管区域 company.com,在其下,它还托管 sub1/2/3 子域。然后在公司 DNS 上,它应将 ourDomain.company.com 委托给您支持的 DNS 服务器。在您的 DNS 服务器上,设置指向 company.com DNS 服务器的条件转发器(您可能不需要为父级设置显式条件转发器,它可能是隐式的,我不太记得了。但显式转发器是一种可靠的方法)。您不需要转发器到 sub1/2/3 - 父域的 DNS 服务器应该处理该流,因为它对 sub1/2/3 具有权威性。

简而言之,yourDomain.company.com 只不过是另一个子域名,它可以托管在总部 DNS 上,也可以委托给单独的 DNS 基础设施(这是您的情况)

答案2

如果您希望自己的 DNS 服务器处理公司区域以外区域的任何 DNS 查询(如 google.com 等),请删除所有转发器。

如果您的客户端向您的 DNS 服务器发送对 company.com 中某个内部区域的查询,则您的 DNS 服务器自然会将该查询发送到父区域 DNS 服务器来处理该查询,您无需为这些区域设置特定的转发器。

我建议您在进行任何更改之前先绘制出设置图表,以便您了解环境的工作方式,如果您继承了该环境,则可能无法按照您的想法进行设置。

相关内容