У нас есть домен Windows 2012 с двумя разными сайтами, подключенными через vpn.
Сайт 1 имеет DC с DNS, Сайт 2 имеет два DC с DNS
Большинство DNS-зон интегрировано в AD, поэтому изменение отражается на всех 3 DNS.
У Сайта 1 и Сайта 2 больше подсетей (обратите внимание на lan и dmz), тогда как vpn связывает только lan с lan. В обоих dmz есть серверы, доступные из Интернета, поэтому нет необходимости добавлять другие vpn для каждой комбинации подсетей между сайтами.
Я хотел бы получить доступ к серверу dmz через его частный адрес, если я нахожусь на том же сайте, через связанный общедоступный IP-адрес, если он находится на другом сайте.
Таким образом, разрешение имен должно отличаться в зависимости от сайта, на котором находится клиент. Может быть, я могу создать зоны, не интегрированные в AD, поэтому они могут быть разными на каждом DNS.
Я предполагаю, что клиенты на site1 сначала будут запрашивать DNS на site1, иначе эта конфигурация не будет работать.
На сайте 2 есть два DNS: нужно ли вручную выровнять их для зон, не интегрированных в AD? Могу ли я сделать что-нибудь волшебное с первичными / вторичными / заглушками?
Вы можете добиться этого с помощью DNS-серверов Windows после их обновления до Server 2016. В этом выпуске вы можете использовать Политики DNS для достижения Split-Brain DNS.
В противном случае вы можете добиться этого, удалив запись A из зоны, интегрированной в AD, и создав новую зону прямого просмотра (не интегрированную в AD) на каждом сервере DC / DNS, а также создав пустую запись A с IP-адрес, для которого вы хотите разрешить имя для сайта, который в основном обслуживает сервер DC / DNS. Это не является надежным и ненадежным.
Раньше я добивался этого, используя уловку с брандмауэром (мои извинения, но с тех пор прошло несколько лет с тех пор, как я это сделал), когда брандмауэр был настроен на маршрутизацию запросов непосредственно к опубликованному ресурсу, а не на попытки взлома межсетевого экрана.