在內部使用非遞歸 DNS 和遞歸外部 DNS 的雙 NIC 上進行解析
假設我有一個帶有 AD/DHCP/DNS 的內部 LAN (LANA),與網際網路隔離,沒有預設網關。因此,它的 DNS 伺服器 DNSA 是非遞歸的。一些伺服器還有第二個 NIC 到一個單獨的 LAN/子網 (LANB),它確實有一個預設網關路由器/防火牆到 Internet。因此,他們還配置了一組公共遞歸 DNS 解析器 (DNSB)。
網路地圖 http://christoph.ruegg.name/storage/img/dualdnsnetwork.png
有一段時間,具有兩個 NIC 的伺服器能夠以某種方式使用兩個名稱伺服器進行解析(或者由於記憶體,它只是偶然工作)。但是現在他們似乎只使用 DNSA 來解析名稱,而在(顯然)未能解析任何網際網路域之後重試 DNSB - 所以他們無法再解析網際網路域。
Windows Server DNS 似乎無法轉發到它無權訪問的外部 DNS 伺服器(即不啟用遞歸解析)
這種網路佈局能否可靠地工作,還是我必須將 DNSA 連接到 LANB 並將其變成遞歸解析器?還是有其他方法,例如使用條件轉發器?(我更願意完全隔離一些伺服器,當然我知道如果其中一台雙網卡伺服器被黑客入侵,這也無濟於事)
我的 TS 伺服器也有類似的設置,每個都有兩張 NIC 卡,一張通過 DG 連接到 Internet(配置為不在 DNS 中註冊),一張連接到 LAN 而沒有 DG(配置為在 DNS 中註冊)。問題是兩個 NIC 都為內部和外部 DNS 使用相同的遞歸 DNS 伺服器集,所以如果內部和外部 NIC 卡使用不同的 DNS 伺服器,我無法確切告訴您它將如何工作。
我從來沒有在 AD 域上這樣做過,但這是我會嘗試的:
- 從雙 NIC 伺服器的 TCP\IP 配置中刪除 DNSA,以便它們僅使用 DNSB 進行 DNS 解析。
- 設置 DNSB 以將 DNSA 用作 DNSA 託管的 AD DNS 域的條件轉發器。
這將允許雙 NIC 伺服器通過 DNSB 進行外部名稱解析,並通過 DNSA 進行內部名稱解析,因為 DNSB 會將任何對 DNSA 區域的請求轉發給 DNSA 進行解析。
需要注意的是,雙 NIC 伺服器仍然可以通過 DNSB 使用 DNSA 與 AD 域進行通信、身份驗證、解析和註冊。
如果您通過將 DNSA 配置為使用 DNSB 作為所有其他域(除 AD DNS 域之外的所有域)的條件轉發器來執行此操作,那麼這將產生允許 LANA 上的所有客戶端通過 DNSB 作為外部 DNS 解析的影響條件轉發器,您可能不想要。