裂腦 DNS 和 DNS 轉發
這可能是不尋常的問題,但我想知道這是否可能。
我們在防火牆後面有幾個安全區域,我們稱它們為 LAN、DMZ 和後端。
在 DMZ 區域中有一個 DNS 伺服器(綁定,伺服器名稱為 ns1.domain.com),設置為拆分 DNS。即它將 domain.com 公有地址解析為來自 Internet 的請求和同一 domain.com 域的私有 NATed 地址來自 LAN 和後端的請求。
一切正常,但是現在我正在將 Windows 2008 AD 引入後端,因為伺服器基礎的增長和管理 SAM 數據庫不再是一種選擇。Windows 域名是 DOMAIN.COM。我意識到這可能會造成混亂的設置,但已經完成在命名部門保持簡單。
當然,這需要使用位於同一 AD.DOMAIN.COM 伺服器上的 Windows DNS。
這台伺服器上的 DNS 區域工作正常,我已經為 ns1.domain.com 設置了一個轉發器,用於任何與 Internet 相關的查詢。
現在的問題。如果我想從後端的 Windows 主機解析位於 DMZ NATed 子網中的主機(即使用裂腦 DMZ 的內部部分),我如何確保對whatever_is_not_in_windows_domain.com_zone".domain.com 的請求被轉發到內部裂腦 DMZ?有可能嗎?我意識到我可以將它們硬編碼到 windows dns 伺服器區域,但這看起來是一種解決方法,而不是解決方案……
希望我足夠清楚 :)
我認為這是不可能的,AD.DOMAIN.COM 認為它是該域的權威來源,無論如何都會以 NXDOMAIN 響應。
我真的建議您創建一個子域來放入您的廣告。隨著您的設置增長,這將成為一個更大的問題,並且手動將主機添加到兩個區域似乎不是一個好任務。
可以使用 BIND DNS 伺服器執行 Active Directory。
您可以做的是合併區域並允許來自 AD.DOMAIN.COM 伺服器的更新。
但是,這要求 DOMAIN.COM 區域是動態區域。