Windows

條件轉發器或 DNS 存根區域到非權威 DNS 區域

  • October 26, 2018

在某種“下一跳”場景中,我如何將 DNS 查找轉發到非授權區域?

設置如下:

一個 ADDS 域 (contosob.local) 包含兩個 DNS 伺服器,這些伺服器需要能夠查找另一個 ADDS 域 (contosob.local) 的記錄,但是這些伺服器無法直接對話。這僅僅是為了安全,而不是由於子網衝突。

但是,還有另一個域 (notconsoto.local) 可以同時與 contosoa.local 域和 contosob.local 域通信。此域中的 DNS 伺服器有一個存根區域,它將 contosob.local 的所有查找轉發到它的 DNS 伺服器。這一切都按預期工作。

但是,我仍然需要 contosoa.local 來查找 contosob.local 的記錄。我試圖創建另一個存根區域,它將查找指向 notcontoso.local 中的存根區域,但由於這不是權威區域,因此被拒絕。

如何通過 notcontoso.local 從 contosoa.local 跳轉 DNS 查找?我嘗試將 contosob.local 的 DNS 伺服器之一添加到所需主機上的 DNS 客戶端,但這不起作用,因為 Windows 似乎並沒有在列表中循環那麼遠。

這當然是一次性案例,但在我的家庭實驗室中對此進行了測試後,似乎可以以這種方式設置條件轉發器。

因此,contosoa.local 有一個用於 contosob.local 的條件轉發器,它轉到 notcontoso.local,notcontoso.local 有一個用於 contosob.local 的條件轉發器,它轉到 contosob.local。從 contosoa.local 對 contosob.local 的 DNS 查詢將“流動”通過 notcontoso.local。

我已成功對此進行了測試,並使用 Microsoft 網路監視器確認了流量。

請注意,在設置此設置時,當嚮導提示 DNS 伺服器對區域不具有權威性時,無論如何添加它。在 contosoa.local 和 notcontoso.local 中設置“鍊式”條件轉發器後,從 contosoa.local 對 contosob.local 的 DNS 查詢應該流經 notcontoso.local。

引用自:https://serverfault.com/questions/937348