В настоящее время я начинаю планировать небольшое развертывание Active Directory и столкнулся со следующей проблемой.
Домен AD - это example.com (такой же, как и наш общедоступный веб-сайт), и проблема в том, что когда я пытаюсь получить доступ к любому адресу, например address.example.com, который определен в DNS Windows Server, все работает отлично, но когда я хочу для доступа к общедоступному веб-сайту (example.com) Windows Server DNS возвращает адрес контроллера домена.
Как я могу изменить конфигурацию DNS в Windows Server, чтобы, когда кто-то запрашивает * .example.com, не имеющий записи A или CNAME на сервере, он перенаправлялся на DNS-сервер в Интернете?
Спасибо
РЕДАКТИРОВАТЬ: Забыл упомянуть, что я удалил запись A для example.com в DNS сервера Windows.
Нет простого способа сделать это с конфликтующим доменом. Как правило, вы должны выбирать между subdomain.example.com или example.local, чтобы избежать подобных проблем.
Если вы не слишком далеко зашли, лучшим вариантом будет разорвать внутренний домен example.com и переключить его на example.local или internal.example.com. Таким образом, у вас не будет внутренних DNS-серверов, считающих себя авторитетными для домена something.com.
Если переделать свой домен нельзя, вы можете создать записи A с внешними IP-адресами для всех поддоменов External example.com:
Abc.example.com 1.1.1.1
Мы обошли проблему, разместив IIS на контроллере домена. Затем мы настраиваем его так, чтобы все запросы на веб-сайте по умолчанию перенаправлялись на www.example.com. Поскольку www.example.com разрешается правильно (как внутри, так и за пределами нашей сети), все работают отлично. В IIS это достигается путем просмотра Home Directory вкладка для сайта. в The content for this resource should come from: область выберите переключатель с надписью A redirection to a URL.
Если вы уже используете IIS на контроллере домена по другим причинам (например, ваш DC также является вашим сервером печати, и вы используете инструмент интернет-печати в IIS), настройка немного сложнее. Вы должны отличать веб-сайт по умолчанию от других веб-сайтов в отношении того, следует ли выполнять перенаправление.
То, что вы действительно ищете, - это зона политики ответа DNS. Поддерживается DNS-сервером BIND9. У нас это работало на предыдущей работе. Вы предоставляете ответы DNS для всех определенных записей внутри DNS RPZ и для всего остального, что вы пересылаете в общедоступный DNS. Другими словами, вы избегаете полномочий в зоне DNS. Он позволяет вам создавать всевозможные политики, поэтому его также можно использовать в качестве брандмауэра DNS.
Вы настроили службу DNS с разделенным горизонтом. Вы можете не осознавать, что сделали это, но сделали это. При настройке службы DNS с разделенным горизонтом необходимо заполнить базу данных DNS внутреннего сервера соответствующими данными. Как говорится в часто задаваемом ответе, есть два подхода к этому.
Единственный угловой случай, когда задействован Active Directory, - это вершина сокращенной части пространства имен DNS, потому что Контроллеры домена Microsoft Windows динамически регистрируют свои собственные IP-адреса в качестве доменного имени. Опять же, часто задаваемый ответ показывает, как к этому подойти.