Я работаю в компании с раздельной конфигурацией DNS в домене AD. Я знаю, что это далеко не идеально, но я не в состоянии внести изменения в эту область. У меня есть авторитетный DNS (внутренний и внешний), в котором Active Directory не задействован, а контроллеры домена принадлежат другой команде.
Задний план:
example.com
который живет на всех контроллерах домена.sub.example.com
), который делегируется общедоступным IP-адресам в DMZ с помощью NS
записи. Мне нужно исключить эти IP-адреса, используя внутренние IP-адреса, которые находятся за пределами DMZ.Чтобы представить это визуально:
example.com. (DCs are authoritative)
sub.example.com. (subdomain not managed by the DCs)
Я хотел бы иметь sub.example.com. NS
записи, преобразованные в условный сервер пересылки, который отправляет трафик стандартным серверам пересылки, но наши администраторы домена говорят мне, что Windows DNS не разрешает пересылку в зоне прямого просмотра.
Верно ли, что это неподдерживаемая конфигурация? У других продуктов DNS нет проблем с сервером пересылки, который находится ниже авторитетной зоны, поэтому я хочу убедиться, что работаю с правильной информацией, прежде чем перейти к другой стратегии, такой как дыры в межсетевом экране для каждого DC, которые обходят серверы пересылки . (ах)
Я уже просмотрел Перенаправлять запросы субдомена на другой DNS-сервер в Windows 2k3 и принятый ответ, который рекомендует NS
делегирование, которое не отвечает на этот вопрос.
Я предваряю это заявлением об отказе от ответственности, что я не очень хорошо знаком со спецификой MSDNS.
Прежде всего, я могу подтвердить, что если вы попытаетесь просто добавить такую зону переадресации (например, sub.example.com
зона переадресации, когда example.com
существует как обычная зона) вы увидите это диалоговое окно с ошибкой:
---------------------------
DNS
---------------------------
A problem occurred while trying to add the conditional forwarder.
A zone configuration problem occurred.
---------------------------
OK
---------------------------
(Великолепное представление ASCII, автоматически созданное Windows.)
Однако, как отмечается в Использование пересылки документация (выделено автором):
DNS-сервер не может пересылать запросы для доменных имен в зонах, которые он размещает. Например, полномочный DNS-сервер для зоны microsoft.com не может пересылать запросы в соответствии с доменным именем microsoft.com. Полномочный DNS-сервер для microsoft.com может пересылать запросы для DNS-имен, заканчивающихся на example.microsoft.com, если example.microsoft.com делегирован другому DNS-серверу.
Т.е. если вы делегируете sub.example.com
сначала в другом месте (ограничивая объем вашего example.com
зона) он позволяет вам добавить зону пересылки для sub.example.com
.
Удастся ли вам пойти по этому пути, вероятно, будет зависеть от мельчайших деталей вашего сценария.
Как бы то ни было, я заметил, что, похоже, MSDNS по какой-то причине игнорирует RD
(желательна рекурсия) бит для зон пересылки (т.е. он пересылает, даже если RD
не установлен), поэтому кажется, что вышеупомянутое делегирование фактически не отображается в этой настройке.