Windows

外部域與 AD 域匹配時未使用 DNS 轉發器

  • September 6, 2019

我在 Windows Server 2016 上設置了域控制器,AD 域的域名是example.com. 連接到該域的每台電腦都分配有一個域名,我可以在Forward Lookup Zonesof中看到該域名DNS manager,例如:

DC01.example.com
PC01.example.com
PC02.example.com

我還設置了一些未連接到 AD 域的外部伺服器,但它們使用相同的域名,例如:

webapp.example.com
mail.example.com

我面臨的問題是 DNS 解析器DC01.example.com似乎沒有將請求轉發到我在該Forwarders部分下設置的 DNS 伺服器

例如,如果我在PC01連接到域的 上,並且我嘗試執行一個nslookup,因為webapp.example.com我得到一個錯誤。我認為這是因為DC01查看它的Forward Lookup Zones,發現什麼都沒有webapp,只是報告找不到它。

如果它有任何區別,DC 沒有 Internet 訪問權限,而是依賴於中間 DNS 伺服器,這是在10.0.0.2,我知道這個解析器工作正常,因為當我使用nslookup webapp.example.com 10.0.0.2它時沒有問題。

需要什麼配置才能使域電腦能夠獲得外部域的 DNS 響應?

您遇到了所謂的“裂腦 DNS”情況。因為example.com被列為正向查找區域,所以當您的 DNS 伺服器被要求解析webapp.example.com. 如果無法在 Forward Lookup Zones 下找到區域,它將僅使用轉發器選項卡上的轉發器。

因此,您需要在正向查找區域和您使用的任何 DNS 系統中為公眾創建一個 A 記錄,webapp.example.com以便能夠解析**您面向外部的站點的地址。example.com

這樣做的一個附帶好處是,您可以選擇在正向查找區域條目中使用內部(又名RFC 1918)IP 地址webapp.example.com,以及在公共 DNS 系統中使用公共地址。這樣,您的內部使用者可以通過 192.168.100.100 訪問您的網站,假設您的內部使用者與您的 Web 伺服器之間存在內部連接。這樣可以防止流量必須通過防火牆向外出去,然後才右轉(又名“髮夾”)並返回。

引用自:https://serverfault.com/questions/982266