Назад | Перейти на главную страницу

Разделить Horizon DNS через Active Directory?

Скажем, у нас есть домен активного каталога corp.mycompany.com и общедоступный домен DNS mycompany.com. Можно ли создать интегрированную зону DNS AD для mycompany.com и только записи хоста, которые нам нужно разрешать по-разному внутренне и внешне?

Например, если мы хотим, чтобы только smtp.mycompany.com разрешался как частный IP внутри, мы создаем зону mycompany.com в AD и создаем единственную запись A для smtp, указывающую на внутренний IP. При тестировании наши доменные клиенты будут правильно преобразовывать smtp.mycompany.com в частный IP-адрес, но не смогут разрешить любые другие записи A, если мы не создадим их в интегрированной зоне AD. Мы хотели бы, чтобы любые записи, которых нет в интегрированной зоне AD, разрешались с помощью наших общедоступных записей DNS. Мне сказали, что в мире unix это называется DNS с разделением горизонта, есть ли аналог в мире Windows?

Заранее спасибо

Когда вы настраиваете авторитетную зону для mycompany.com на контроллерах домена они всегда будут авторитетно отвечать на запросы в этой зоне, поэтому все будет работать не так, как вы предполагаете. (Разделение горизонта означает просто наличие другой версии зоны для определенных сетей, а не механизм для переопределения только подмножества записей в зоне)

Если у вас не так много записей, которые вы хотите переопределить, вы можете подойти к этому по-другому; Создайте smtp.mycompany.com в качестве зоны DNS в AD, затем создайте замещающую запись в корне этой зоны. Таким образом, авторитетный smtp зона ответит от контроллера домена, в то время как другие записи пойдут на общедоступный поиск.

Часто такое разделение доставляет больше проблем, чем оно того стоит, и было бы неплохо поработать над тем, чтобы "внутреннее" стало его собственным субдоменом, например lan.mycompany.com, позволяя mycompany.com быть посвященным общественному использованию.