如何向公眾阻止本地 ns 記錄？

我在 NAT 後面有一個 DNS 和活動目錄伺服器（我必須這樣做）。在 DNS 伺服器上，AD 自動為私有 IP 地址添加 NS 記錄。如何設置策略以響應特定子網的本地 NS 記錄？

abc.com
10.0.0.2 private
1.1.1.2 public

當我查詢名稱伺服器時，它返回兩條 NS 記錄。

我需要這樣的政策；

When query comes from 10.0.0.0/8 it should return 10.0.0.2 NS record
When query comes from any other ip it should retun 1.1.1.2 NS record

您可以使用 DisableNSRecordsAutoCreation 系統資料庫值來禁用域控制器的自動 NS 記錄註冊：

Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: DisableNSRecordsAutoCreation
Value Type: REG_DWORD
Value Data: 0x1

您還應該使用 PublishAddresses 系統資料庫值來防止您的外部/公共地址在內部被公佈。

Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: PublishAddresses  
Value Type: REG_SZ
Value Data: ip address(es), separated by spaces if multiple  

為了完全支持這些要求，您可以利用 Windows Server 2016 DNS 的新功能。請參閱以下內容：

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/what-s-new-in-dns-server

DNS 策略

您可以將 DNS 策略用於基於地理位置的流量管理、基於一天中的時間的智能 DNS 響應、管理為裂腦部署配置的單個 DNS 伺服器、對 DNS 查詢應用過濾器等。以下各項提供了有關這些功能的更多詳細資訊。

• 基於地理位置的交通管理。您可以使用 DNS 策略允許主 DNS 伺服器和輔助 DNS 伺服器根據客戶端的地理位置和客戶端嘗試連接的資源來響應 DNS 客戶端查詢，為客戶端提供最近資源的 IP 地址.
• 裂腦 DNS。使用裂腦 DNS，DNS 記錄在同一 DNS 伺服器上被拆分為不同的區域範圍，DNS 客戶端根據客戶端是內部客戶端還是外部客戶端接收響應。您可以為 Active Directory 集成區域或獨立 DNS 伺服器上的區域配置裂腦 DNS。

引用自：https://serverfault.com/questions/839707