У меня есть сетевая установка с доменом AD 2008 R2 под названием internal.domain.org. Наш внешний веб-сайт использует www.domain.org и domain.org. Я бы хотел, чтобы пользователи могли получить доступ к нашему серверу RDS - machinename.internal.domain.org - используя одно и то же доменное имя внутри или за пределами локальной сети. Это будет remote.domain.org. Снаружи это достаточно легко, но внутри я потерялся. Попытавшись использовать разделенный DNS, легко получить remote.domain.org на внутренней машине RDS, но это нарушает доступ к внешнему веб-сайту изнутри локальной сети.
Проблема, похоже, в том, что когда я создаю зону прямого просмотра под названием domain.org, вместо обычного набора папок появляется подпапка с именем internal. Я добавляю записи для * и www, но не могу выйти наружу. Я здесь не в своей лиге. Есть предположения?
Спасибо,
Используйте разделенный DNS (разделенный горизонт), но не на сервере с программным обеспечением Microsoft - это не работает.
На вашем локальном DNS-рекурсоре / кешере вы обычно можете создать конкретное переопределение для FQDN для сопоставления с другим IP-адресом. Это добавляет ровно один CI к вашей CMDB и совсем не является необычным или сложным.
В зависимости от вашей настройки вы обычно делаете это в своей системе сетевого шлюза. Например, в pfSense это можно сделать с помощью графического интерфейса в Services-> DNS Server внизу. Поскольку вы не опубликовали то, что используете, я не могу привести вам пример для вашей системы.
Разрабатывая свой ответ:
Это точный пример того, почему DNS с расщепленным горизонтом работает и необходим. Если у вас есть несколько точек входа в службу, для доступа к которой требуются разные IP-адреса, и вы используете полное доменное имя для доступа к ней, DNS - это именно то, как это решается.
Обычно есть 3 очень распространенных случая, когда в зависимости от того, где работают ваши сотрудники, приходят играть:
Иногда это несколько VPN-подключений или туннелей, что может еще больше усложнить ситуацию. Во многих случаях это можно решить с помощью маршрутизации и брандмауэра, но при этом создается так много дополнительных элементов конфигурации, что ваша CMDB будет просто переполняться бессмыслицей каждый раз, когда вам нужно настроить службу, доступную из нескольких мест.
Во многих случаях зона, для которой сервер Windows должен быть авторитетным, может быть просто настроена на главном маршрутизаторе, шлюзе или DNS-сервере, так что вы можете иметь одну высокопроизводительную единую точку конфигурации для всех ваших потребностей DNS. Единственный недостаток заключается в том, что если клиентам требуются передачи зоны или удаленные обновления DNS для DNS-сервера по умолчанию, это больше не будет работать. Однако, как правило, этого не происходит при настройке клиент-сервер.
В этом случае сплит-DNS работает следующим образом:
Поскольку необходимы только две разные записи DNS (общедоступная и локальная), это легко и надежно настраивается. Нет необходимости в представлениях, подобных BIND, реализации представлений PowerDNS или несвязанному с поддержкой перезаписи. Представления и Split-DNS не реализованы в Microsoft DNS, поэтому в данном случае это не вариант. (Видеть http://en.wikipedia.org/wiki/Comparison_of_DNS_server_software для сравнения)
Во-вторых, если у вас есть pfSense, вы можете просто создать туннель L2TP через IPSec или OpenVPN, чтобы люди могли иметь удаленный доступ. Хотя для этого требуется установка программного обеспечения в клиентской системе, он устраняет необходимость в доступном через WAN RDS.