我正在寻找在Windows Server上创build一个根域,它将parsing我们的防火墙内托pipe的选定服务的内部IP,并将所有未parsing的主机名请求转发给外部名称服务器。
例如,如果有人试图通过https://erp.contoso.com访问ERP系统,则内部DNS将向LAN用户提供本地IP,而外部用户将被提供来自外部DNS提供商的公共IP地址。
但是,无论用户是否在局域网中,所有对https://firewall.contoso.com请求都将由外部DNSparsing。
如何做到这一点? 我很抱歉,如果这个解释很难遵循,我希望这是有道理的。
选一个:
1)复制从公开到私人的一切
从字面上复制你想要的所有logging和私人logging,这是最痛苦和最常见的。
2)使用公共nslogging(委托区域)为内部服务器上的所有公共子域添加NSlogging,
firewall.contoso.com IN NS ns1.msft.net. firewall.contoso.com IN NS ns2.msft.net.
3)将私有IP置于WAN区域
有些人认为这是一个安全问题,否则它并不重要。
4)cname根logging到只有分割或本地的子域。
erp.contoso.com in CNAME erp.contoso.local erp.contoso.com in CNAME erp.lan.contoso.com
本地区域
erp.lan.contoso.com IN A 10.0.0.10
5)只为内部区域创build子域名。 (个人最喜欢的)
公共区域:
erp.contoso.com IN CNAME erp.lan.contoso.com dns1.lan.contoso.com IN A 10.0.0.5 dns2.lan.contoso.com IN A 10.0.0.6 lan.contoso.com IN NS dns1.lan.contoso.com lan.contoso.com IN NS dns2.lan.contoso.com
私人区域:
dns1.lan.contoso.com IN A 10.0.0.5 dns2.lan.contoso.com IN A 10.0.0.6 erp.lan.contoso.com IN A 10.0.0.10