Назад | Перейти на главную страницу

Внутренний делегат DNS на внешний хост

У нас возникла проблема с внутренним делегированием DNS.

Вот описание нашей архитектуры и проблемы:

Архитектура

Домен1

Домен2

Вот описание нашей архитектуры: В нашей среде есть два домена (леса) Active Directory. Первый - это «Domain1» (который мы используем для серверов общего назначения и пользователей / клиентских машин) и «Domain2» (который мы используем для серверов веб-разработки). Domain2 также включает в себя наши внешние DNSes "extDNS1" и "extDNS2". У нас есть довольно много веб-сайтов, которые размещены на внешнем сервере (за пределами «Домена1» и «Домена2»), но на наши веб-серверы («srv1» и «srv2») необходимо ссылаться внутри для интеграции с другими веб-сайтами и порталами. . Эти веб-сайты используют в качестве DNS «extDNS1» и «extDNS2». Для того, чтобы «srv1» и «srv2» могли ссылаться на эти внешние серверы, мы установили делегатов для этих доменов во внутреннем DNS в Domain2 на серверах «intDNS1» и «intDNS2». Эти делегаты указывают на наши серверы «DHCPDNS1» и «DHCPDNS2» в «Domain1», чтобы получить внешний адрес DNS. «DHCPDNS1» и «DHCPDNS2» - наши DHCP-серверы.

Эта установка работала отлично, пока у нас не были «DHCPDNS1» и «DHCPDNS2» на Windows Server 2008. Мы недавно перенесли эти два сервера на Windows Server 2012 с теми же настройками DHCP и DNS, что и раньше. После миграции на «srv1» или «srv2» мы не можем разрешить IP-адреса наших доменов, делегаты которых указывают на «DHCPDNS1» и «DHCPDNS2» при проверке связи.

Вот некоторые наблюдения и некоторые вещи, которые мы пробовали:

  1. Если мы пингуем эти поддомены на любом клиентском компьютере или сервере в Domain1, DHCPDNS1 или DHCPDNS2, он сможет получить внешний IP-адрес, а затем сохранит его в своем кэше распознавателя DNS. Пока эти записи существуют в кеше распознавателя DHCPDNS1 или DHCPDNS2, srv1 и srv2 (и все серверы в Domain2) могут пинговать эти поддомены. Когда кэш-записи резолвера на DHCPDNS1 и DHCPDNS2 истекают, эхо-запрос с серверов Domain2 не работает. Помните, это только для тех доменов, у которых есть делегат, указывающий на DHCPDNS1 и DHCPDNS2. Опять же, наша цель состоит в том, чтобы серверы в Домене 2 могли получить внешний IP-адрес, что невозможно, поскольку внешний DNS находится в том же домене.

  2. При изменении динамических обновлений с «Нет» на «Небезопасный и безопасный» на DHCPDNS1 серверы Domain2 сразу же смогли успешно маршрутизировать свои запросы ping через DHCPDNS1 и DHCPDNS2. Это работало в течение 7 дней, и теперь запросы ping не разрешаются на всех серверах Domain2. Я не уверен, связано ли это со старением DHCPDNS1, который по умолчанию установлен на 7 дней.

Надеюсь, что кто-то поможет пролить свет здесь. Еще раз, наша цель состоит в том, чтобы все серверы в Домене 2 (который включает внешние DNS) должны иметь возможность пинговать внешние адреса (которые используют extDNS1 и extDNS2 в качестве своего DNS). Таким образом, внутренний DNS в домене Domain2 должен указывать на внешний IP-адрес.

Мы настроили пересылку для DHCPDNS1 и DHCPDNS2 на 8.8.8.8, и теперь все серверы в Domain2 могут разрешать эти адреса.