外部域與 AD 域匹配時未使用 DNS 轉發器
我在 Windows Server 2016 上設置了域控制器,AD 域的域名是
example.com. 連接到該域的每台電腦都分配有一個域名,我可以在Forward Lookup Zonesof中看到該域名DNS manager,例如:DC01.example.com PC01.example.com PC02.example.com我還設置了一些未連接到 AD 域的外部伺服器,但它們使用相同的域名,例如:
webapp.example.com mail.example.com我面臨的問題是 DNS 解析器
DC01.example.com似乎沒有將請求轉發到我在該Forwarders部分下設置的 DNS 伺服器例如,如果我在
PC01連接到域的 上,並且我嘗試執行一個nslookup,因為webapp.example.com我得到一個錯誤。我認為這是因為DC01查看它的Forward Lookup Zones,發現什麼都沒有webapp,只是報告找不到它。如果它有任何區別,DC 沒有 Internet 訪問權限,而是依賴於中間 DNS 伺服器,這是在
10.0.0.2,我知道這個解析器工作正常,因為當我使用nslookup webapp.example.com 10.0.0.2它時沒有問題。需要什麼配置才能使域電腦能夠獲得外部域的 DNS 響應?
您遇到了所謂的“裂腦 DNS”情況。因為
example.com被列為正向查找區域,所以當您的 DNS 伺服器被要求解析webapp.example.com. 如果無法在 Forward Lookup Zones 下找到區域,它將僅使用轉發器選項卡上的轉發器。因此,您需要在正向查找區域和您使用的任何 DNS 系統中為公眾創建一個 A 記錄,
webapp.example.com以便能夠解析**您面向外部的站點的地址。example.com這樣做的一個附帶好處是,您可以選擇在正向查找區域條目中使用內部(又名RFC 1918)IP 地址
webapp.example.com,以及在公共 DNS 系統中使用公共地址。這樣,您的內部使用者可以通過 192.168.100.100 訪問您的網站,假設您的內部使用者與您的 Web 伺服器之間存在內部連接。這樣可以防止流量必須通過防火牆向外出去,然後才右轉(又名“髮夾”)並返回。