內部訪問RDS,域名與外部相同
我有一個名為 internal.domain.org 的 2008 R2 AD 域的網路設置。我們的外部託管網站使用 www.domain.org 和 domain.org。我希望使用者能夠使用相同的域名訪問我們的 RDS 伺服器–machinename.internal.domain.org–無論是在 LAN 內部還是外部。這將是 remote.domain.org。從外面看很容易,但在裡面我迷路了。嘗試拆分 DNS,很容易將 remote.domain.org 獲取到內部 RDS 機器,但它會破壞從 LAN 內部對外部網站的訪問。
問題似乎在於,當我創建一個名為 domain.org 的正向查找區域時,它會出現一個名為 internal 的子文件夾,而不是正常的文件夾集。我添加了 * 和 www 的記錄,但無法到達外部。我在這裡不合群。有什麼想法嗎?
謝謝,
使用拆分 DNS(水平拆分),但不能在執行 Microsoft 軟體的伺服器上使用 - 它不起作用。
在您的本地 DNS 遞歸器/記憶體器上,您通常可以為 FQDN 創建一個特定的覆蓋以映射到不同的 IP。這只會在您的 CMDB 中添加一個 CI,而且一點也不稀奇或複雜。
根據您的設置,您通常在您的網路網關係統上執行此操作。例如在 pfSense 上,可以使用底部的 Services->DNS Server 中的 GUI 來完成。由於您沒有發布您正在使用的內容,因此我無法為您的系統提供範例。
詳細說明我的答案:
這是水平分割 DNS 工作和需要的確切案例。如果您有多個服務入口點需要不同的 IP 來訪問它,並且您正在使用 FQDN 來訪問它,那麼 DNS 正是解決此問題的方法。
通常,有 3 種非常常見的情況,取決於您的員工工作的地方來玩:
- 實際可訪問 RDS 的 LAN 上的本地 RDS
- RDS via WAN,這需要使用 WAN IP(然後 NAT 到 RDS 的 LAN IP)
- 通過 VPN 的 RDS,其中 VPN 位於其自己的子網中,可能有權訪問區域網路,也可能無權訪問區域網路
有時在哪裡有多個 VPN 連接或隧道,這會使事情變得更加複雜。在許多情況下,這可以通過路由和防火牆來解決,但是這會創建更多的配置項,以至於每次您需要將服務配置為可從多個位置訪問時,您的 CMDB 都會被大量廢話淹沒。
在許多設置中,可以簡單地在主路由器、網關或 DNS 伺服器上配置 Windows 伺服器需要對其具有權威性的區域,這樣您就可以擁有一個高性能的單點配置來滿足您的整個 DNS 需求。唯一的缺點是,如果客戶端需要對預設 DNS 伺服器進行區域傳輸或遠端 DNS 更新,它將不再起作用。但是,在客戶端-伺服器設置中通常不再是這種情況。
在這種情況下,拆分 DNS 的工作方式很簡單:
- 公共 DNS 保存 WAN 連接的 A 記錄
- 內部 DNS 保存特定 FQDN (remote.example.com) 的覆蓋 A 記錄
因為只需要兩個不同的 DNS 記錄(公共和 LAN),所以這很容易且可靠地配置。不需要像 BIND 那樣的視圖,或 PowerDNS 的視圖實現,或帶有重寫支持的 Unbound。視圖和拆分 DNS 未在 Microsoft DNS 中實現,這就是為什麼在這種情況下這不是一個選項。(參見http://en.wikipedia.org/wiki/Comparison_of_DNS_server_software進行比較)
第二點:如果你有 pfSense,你可以簡單地創建一個 L2TP over IPSec 或 OpenVPN 隧道,這樣人們就可以進行遠端訪問。雖然它確實需要在客戶端系統上安裝軟體,但它不需要 WAN 可訪問的 RDS。