Я пытаюсь настроить сеть Active Directory на Server 2012 R2 и хочу, чтобы DNS AD использовался только для внутренних целей (например, domain-controller.company.com), а также некоторые записи, которым требуется как внутренняя, так и внешняя доступность (например: mail.company.com), которые используют внутренние IP-адреса во внутренней сети, и, наконец, некоторые записи, которым нужен только внешний доступ.
Единственные решения, которые я мог придумать или найти, - это использовать поддомен, который обрабатывает все внутренние записи, и использовать простой домен company.com для всех внешних записей. Похоже, это означает, что я должен управлять двумя DNS-серверами отдельно. Один из этих способов лучший, или я где-то напортачил?
Настоятельно рекомендуется создавать отдельные внутренние и внешние DNS-зоны, чтобы не раскрывать все детали вашей топологии всему Интернету. Лучше всего снизить риск, если хранить данные отдельно. Кроме того, изолировав общедоступный DNS от AD и его функцию автоматического обновления, вы можете предотвратить еще один механизм, который потенциально может быть использован для перехвата ваших записей.
Чтобы сделать это без полного разделения DNS, можно использовать представление или DNS с разделением горизонта, которые Windows не поддерживает. Так что в любом случае вам придется управлять вторым набором DNS-серверов.
Кроме того, вы можете использовать один и тот же домен внутри и снаружи с разными данными (в основном с разделенным горизонтом) или поддоменом. Это твой выбор. Подробнее об этом читайте Лучшие практики именования Windows Active Directory?.