Windows Server 2012 是否支持嵌套條件轉發器?
我為一家在 AD 域上使用拆分 DNS 配置的公司工作。我知道這不太理想,但我無法推動這一領域的變革。我擁有不涉及 Active Directory 的權威 DNS(內部和外部),而另一個團隊擁有域控制器。
背景:
- 我們有一個名為的拆分域
example.com,它存在於所有域控制器上。- DC 被配置為對它們不具有權威性的所有域使用轉發器。
- 該 ( ) 的子域使用記錄
sub.example.com委派給 DMZ 中的公共 IP 地址。NS我需要使用 DMZ 之外的內部 IP 地址來消除這些 IP 地址。- 可以從轉發器訪問新 IP 地址,但不能從域控制器訪問。
要直覺地表示這一點:
example.com. (DCs are authoritative) sub.example.com. (subdomain not managed by the DCs)我希望將
sub.example.com. NS記錄轉換為條件轉發器,將流量發送到標準轉發器,但我們的域管理員告訴我,Windows DNS 不允許轉發器進入正向查找區域。這是一個不受支持的配置,這是真的嗎?其他 DNS 產品對位於權威區域下方的轉發器沒有問題,因此我想確保在使用不同的策略之前使用正確的資訊,例如繞過轉發器的每個 DC 的防火牆漏洞. (啊)
我已經查看了在 Windows 2k3 中將子域的轉發請求轉發到另一台 DNS 伺服器以及推薦
NS委派的已接受答案,該答案沒有回答這個問題。
我將以我對 MSDNS 細節不是很熟悉的免責聲明作為開頭。
首先,我可以確認,如果您嘗試僅添加這樣的轉發區域(例如,作為正常區域存在
sub.example.com時的轉發example.com區域),您會遇到以下錯誤對話框:--------------------------- DNS --------------------------- A problem occurred while trying to add the conditional forwarder. A zone configuration problem occurred. --------------------------- OK ---------------------------(由 Windows 自動生成的光榮的 ASCII 表示。)
但是,正如Using Forwarders文件中所述(強調添加):
DNS 伺服器無法轉發對其託管區域中的域名的查詢。例如,區域 microsoft.com 的權威 DNS 伺服器無法根據域名 microsoft.com 轉發查詢。如果 example.microsoft.com 被委託給另一個 DNS 伺服器,則 microsoft.com 的 DNS 伺服器權威可以轉發以 example.microsoft.com 結尾的 DNS 名稱的查詢。
即,如果您
sub.example.com首先委託其他地方(限制您的example.com區域範圍),那麼它確實允許您為sub.example.com.走這條路是否真的適合你可能取決於你的場景的細節。
對於它的價值,我確實注意到,似乎 MSDNS 出於某種原因忽略了
RD轉發區域的(需要遞歸)位(即,即使RD未設置它也會轉發),因此上述委託似乎實際上並不可見在這個設置中。