У меня есть контроллер домена, настроенный на Windows Server 2016, имя домена для домена AD - example.com. Каждому компьютеру, подключенному к этому домену, назначается доменное имя, которое я вижу в Forward Lookup Zones из DNS manager, например:
DC01.example.com
PC01.example.com
PC02.example.com
У меня также есть несколько внешних серверов, которые не подключены к домену AD, но используют одно и то же доменное имя, например:
webapp.example.com
mail.example.com
Проблема, с которой я столкнулся, заключается в том, что преобразователь DNS на DC01.example.com похоже, не пересылает запросы к DNS-серверу, который я настроил в Forwarders раздел
Например, если я нахожусь на PC01, который подключен к домену, и я пытаюсь выполнить nslookup для webapp.example.com Я получаю ошибку Я думаю это потому что DC01 смотрит на его Forward Lookup Zones, видит, что нет ничего для webapp и просто сообщает, что его нельзя найти.
Если это имеет значение, DC не имеет доступа к Интернету и вместо этого полагается на промежуточный DNS-сервер, он находится по адресу 10.0.0.2, Я знаю, что этот преобразователь работает правильно, потому что когда я использую nslookup webapp.example.com 10.0.0.2 он работает без проблем.
Какая конфигурация необходима, чтобы компьютеры домена могли получать ответы DNS для внешних доменов?
У вас есть так называемая ситуация «раздвоенного DNS». Так как example.com указан как зона прямого просмотра, это единственное место, куда ваш DNS-сервер будет искать, когда его попросят разрешить webapp.example.com. Он будет использовать серверы пересылки на вкладке «Серверы пересылки» только в том случае, если ему не удается найти зону в разделе «Зоны прямого просмотра».
Итак, вам нужно сделать запись A для webapp.example.com в обе в example.com Зона прямого просмотра и в любой системе DNS, которую вы используете для широкой публики, чтобы иметь возможность разрешать адреса ваших внешних сайтов.
Дополнительным преимуществом этого является то, что у вас есть возможность использовать внутренний (также известный как RFC 1918) IP-адрес для webapp.example.com в записи зоны прямого просмотра и публичный адрес в общедоступной системе DNS. Таким образом, ваши внутренние пользователи могут попасть на ваш сайт, скажем, по адресу 192.168.100.100, при условии, что у вас есть внутреннее соединение от ваших внутренних пользователей к вашим веб-серверам. Это предохраняет трафик от необходимости выходить наружу через ваш брандмауэр только для того, чтобы повернуть направо (он же «шпилька») и вернуться обратно.