外部域與 AD 域匹配時未使用 DNS 轉發器
我在 Windows Server 2016 上設置了域控制器,AD 域的域名是
example.com
. 連接到該域的每台電腦都分配有一個域名,我可以在Forward Lookup Zones
of中看到該域名DNS manager
,例如:DC01.example.com PC01.example.com PC02.example.com
我還設置了一些未連接到 AD 域的外部伺服器,但它們使用相同的域名,例如:
webapp.example.com mail.example.com
我面臨的問題是 DNS 解析器
DC01.example.com
似乎沒有將請求轉發到我在該Forwarders
部分下設置的 DNS 伺服器例如,如果我在
PC01
連接到域的 上,並且我嘗試執行一個nslookup
,因為webapp.example.com
我得到一個錯誤。我認為這是因為DC01
查看它的Forward Lookup Zones
,發現什麼都沒有webapp
,只是報告找不到它。如果它有任何區別,DC 沒有 Internet 訪問權限,而是依賴於中間 DNS 伺服器,這是在
10.0.0.2
,我知道這個解析器工作正常,因為當我使用nslookup webapp.example.com 10.0.0.2
它時沒有問題。需要什麼配置才能使域電腦能夠獲得外部域的 DNS 響應?
您遇到了所謂的“裂腦 DNS”情況。因為
example.com
被列為正向查找區域,所以當您的 DNS 伺服器被要求解析webapp.example.com
. 如果無法在 Forward Lookup Zones 下找到區域,它將僅使用轉發器選項卡上的轉發器。因此,您需要在正向查找區域和您使用的任何 DNS 系統中為公眾創建一個 A 記錄,
webapp.example.com
以便能夠解析**您面向外部的站點的地址。example.com
這樣做的一個附帶好處是,您可以選擇在正向查找區域條目中使用內部(又名RFC 1918)IP 地址
webapp.example.com
,以及在公共 DNS 系統中使用公共地址。這樣,您的內部使用者可以通過 192.168.100.100 訪問您的網站,假設您的內部使用者與您的 Web 伺服器之間存在內部連接。這樣可以防止流量必須通過防火牆向外出去,然後才右轉(又名“髮夾”)並返回。