Серверы пересылки DNS не используются, когда внешний домен совпадает с доменом AD
У меня есть контроллер домена, настроенный на Windows Server 2016, имя домена для домена AD - example.com . Каждому компьютеру, подключенному к этому домену, назначается доменное имя, которое я вижу в зонах прямого просмотра из диспетчера DNS , например:
DC01.example.com
PC01.example.com
PC02.example.com
У меня также есть несколько внешних серверов настройки, которые не подключены к домену AD, но используют одно и то же доменное имя, например:
webapp.example.com
mail.example.com
Проблема, с которой я столкнулся, заключается в том, что преобразователь DNS на DC01.example.com не работает » Похоже, что я пересылаю запросы к DNS-серверу, который я настроил в разделе Forwarders
. Например, если я нахожусь на PC01 , который подключен к домену, и я пытаюсь выполнить nslookup для webapp.example.com и получаю сообщение об ошибке. Я думаю, это связано с тем, что DC01 смотрит на свои зоны прямого просмотра , видит, что для webapp нет ничего, и просто сообщает, что его нельзя найти.
Если это имеет значение,DC не имеет доступа к Интернету и вместо этого полагается на промежуточный DNS-сервер, он находится по адресу 10.0.0.2 , я знаю, что этот преобразователь работает правильно, потому что когда я использую nslookup webapp.example.com 10.0 .0.2 работает без проблем.
Какая конфигурация необходима, чтобы компьютеры домена могли получать ответы DNS для внешних доменов?
У вас есть так называемая ситуация «раздвоенного DNS». Поскольку example.com указан как зона прямого просмотра, это единственное место, куда ваш DNS-сервер будет искать, когда его попросят разрешить webapp.example.com . Он будет использовать серверы пересылки на вкладке «Серверы пересылки» только в том случае, если ему не удастся найти зону в разделе «Зоны прямого просмотра».
Таким образом, вам необходимо создать запись A для webapp.example.com в оба example.com Зона прямого просмотра и в любой системе DNS, которую вы используете для широкой публики, чтобы иметь возможность разрешать адреса ваших внешних сайтов.
Дополнительным преимуществом этого является то, что у вас есть возможность использовать внутренний (также известный как RFC 1918 ) IP-адрес для webapp.example.com в записи зоны прямого просмотра, и публичный адрес в публичной системе DNS. Таким образом, ваши внутренние пользователи могут попасть на ваш сайт, скажем, по адресу 192.168.100.100, при условии, что у вас есть внутреннее соединение от ваших внутренних пользователей к вашим веб-серверам.Благодаря этому трафику не придется выходить наружу через ваш брандмауэр только для того, чтобы повернуть направо (так называемая «шпилька») и вернуться.