这可能是一个不寻常的问题,但我想知道这是否可能。
我们在防火墙后面有几个安全区域,我们称之为LAN,DMZ和后端。
在DMZ区域中有一个DNS服务器(绑定,服务器名是ns1.domain.com),设置为分离式DNS。它parsing了domain.com公共地址到互联网的请求和私有NAT地址为同一个domain.com域来自LAN和后端的请求。
这一切工作正常,但是现在我将Windows 2008 AD引入到后端作为服务器基础增长和pipe理SAM数据库不再是一个选项了.Windows域名是DOMAIN.COM.I意识到,这可能是令人困惑的设置,但这是完成在命名部门保持简单。
当然这需要使用在同一个AD.DOMAIN.COM服务器上的Windows DNS。
此服务器上的DNS区域正常工作,我已经为ns1.domain.com设置了一个转发器,以处理任何与Internet相关的查询。
现在的问题。 如果我想从位于后端的Windows主机(即使用分裂脑DMZ的内部部分)的位于DMZ NATed子网的主机parsing主机,我如何确保对whatever_is_not_in_windows_domain.com_zone“.domain.com的请求被转发到内部裂脑DMZ?有没有可能?我意识到,我可以硬编码到Windows DNS服务器区,但这看起来像一个解决方法,而不是解决scheme…
希望我已经清楚了:)
我不认为这是可能的,AD.DOMAIN.COM认为这是该域名的权威来源,无论如何,都会用NXDOMAIN回应。
我真的build议你创build一个子域来把你的广告。 随着设置的增长,这将成为一个更大的问题,手动添加主机到两个区域似乎不是一个很好的任务。
可以使用BIND DNS服务器运行Active Directory。
你可以做的是合并区域,并允许从AD.DOMAIN.COM服务器更新。
但是这需要DOMAIN.COM区域是一个dynamic区域。
我不认为这是可能的。 后端Windows DNS服务器是domain.com的authoratative,因此不会转发请求domain.com到另一个DNS服务器。 我认为你唯一的select是将DMZ机器的静态条目添加到后端domain.com区域。