Active-Directory

在內部使用非遞歸 DNS 和遞歸外部 DNS 的雙 NIC 上進行解析

  • July 27, 2010

假設我有一個帶有 AD/DHCP/DNS 的內部 LAN (LANA),與網際網路隔離,沒有預設網關。因此,它的 DNS 伺服器 DNSA 是非遞歸的。一些伺服器還有第二個 NIC 到一個單獨的 LAN/子網 (LANB),它確實有一個預設網關路由器/防火牆到 Internet。因此,他們還配置了一組公共遞歸 DNS 解析器 (DNSB)。

網路地圖 http://christoph.ruegg.name/storage/img/dualdnsnetwork.png

有一段時間,具有兩個 NIC 的伺服器能夠以某種方式使用兩個名稱伺服器進行解析(或者由於記憶體,它只是偶然工作)。但是現在他們似乎只使用 DNSA 來解析名稱,而在(顯然)未能解析任何網際網路域之後重試 DNSB - 所以他們無法再解析網際網路域。

Windows Server DNS 似乎無法轉發到它無權訪問的外部 DNS 伺服器(即不啟用遞歸解析)

這種網路佈局能否可靠地工作,還是我必須將 DNSA 連接到 LANB 並將其變成遞歸解析器?還是有其他方法,例如使用條件轉發器?(我更願意完全隔離一些伺服器,當然我知道如果其中一台雙網卡伺服器被黑客入侵,這也無濟於事)

我的 TS 伺服器也有類似的設置,每個都有兩張 NIC 卡,一張​​通過 DG 連接到 Internet(配置為不在 DNS 中註冊),一張連接到 LAN 而沒有 DG(配置為在 DNS 中註冊)。問題是兩個 NIC 都為內部和外部 DNS 使用相同的遞歸 DNS 伺服器集,所以如果內部和外部 NIC 卡使用不同的 DNS 伺服器,我無法確切告訴您它將如何工作。

我從來沒有在 AD 域上這樣做過,但這是我會嘗試的:

  1. 從雙 NIC 伺服器的 TCP\IP 配置中刪除 DNSA,以便它們僅使用 DNSB 進行 DNS 解析。
  2. 設置 DNSB 以將 DNSA 用作 DNSA 託管的 AD DNS 域的條件轉發器。

這將允許雙 NIC 伺服器通過 DNSB 進行外部名稱解析,並通過 DNSA 進行內部名稱解析,因為 DNSB 會將任何對 DNSA 區域的請求轉發給 DNSA 進行解析。

需要注意的是,雙 NIC 伺服器仍然可以通過 DNSB 使用 DNSA 與 AD 域進行通信、身份驗證、解析和註冊。

如果您通過將 DNSA 配置為使用 DNSB 作為所有其他域(除 AD DNS 域之外的所有域)的條件轉發器來執行此操作,那麼這將產生允許 LANA 上的所有客戶端通過 DNSB 作為外部 DNS 解析的影響條件轉發器,您可能不想要。

引用自:https://serverfault.com/questions/164380