Domain-Name-System

同一windows域的站點上的不同dns

  • September 19, 2018

我們有一個 Windows 2012 域,其中有 2 個通過 vpn 連接的不同站點。

站點 1 有一個帶 dns 的 dc,站點 2 有兩個帶 dns 的 dc

大多數 dns 區域都集成到 AD 中,因此所有 3 個 dns 都會發生變化。

站點 1 和站點 2 都有更多子網(請考慮 lan 和 dmz),而 vpn 僅連結 lan 到 lan。在這兩個 dmz 中都有可以從 Internet 訪問的伺服器,因此無需為站點之間的每個子網組合添加其他 vpn。

我想要實現的是,如果我在同一個站點中,則通過其私有地址訪問 dmz 伺服器,如果在另一個站點中,則通過關聯的公共 ip 訪問。

因此,名稱解析應該根據客戶端所在的站點而有所不同。可能我可以創建未集成在 AD 中的區域,因此它們在每個 dns 上可能不同。

我假設 site1 上的客戶端會首先詢問 site1 上的 dns,否則此配置將不起作用。

站點 2 有兩個 dns:我是否必須為非 AD 集成區域手動對齊它們?我可以對主要/次要/存根區域做些魔術嗎?

升級到 Server 2016 後,您可以使用 Windows DNS 伺服器實現此目的。在該版本中,您可以使用DNS 策略來實現裂腦 DNS。

如果做不到這一點,您可以通過從 AD 集成區域中刪除 A 記錄並在每個 DC/DNS 伺服器上創建一個新的正向查找區域(非 AD 集成)來實現此目的,並創建一個空白 A 記錄您希望為 DC/DNS 伺服器主要服務的站點解析名稱的 IP 地址。這不是萬無一失的,也不可靠。

過去,我通過使用防火牆技巧來實現這一點(我很抱歉,但自從我執行此操作以來已經有好幾年了),防火牆被配置為將請求直接路由到已發布的資源,而不是嘗試在防火牆上進行髮夾。

引用自:https://serverfault.com/questions/931672