这是我的情况。 我有一个安装了DNS的2012年Active Directory服务器。 我也有一个sonicwall nsa 240路由器,我作为DHCP服务器。 在声波墙上,我设置了dns条目如下:
primary – 172.16.0.6(dns服务器的ip)secondary – 4.2.2.1
一切正常,我甚至可以在客户机上join域。 但是,如果我尝试去sam.sightly.com这是一个networking服务器我们托pipe我的浏览器回来说,该网页无法显示,并检查我的DNS设置。 但是经常浏览网页的工作
如果我翻转DNS入口,并去:
小学 – 4.2.2.1中学 – 172.16.0.6
我的问题消失,但我不能再join域名,我可以去sam.sightly.com
提前致谢。
你所做的是创build一个裂脑DNS命名空间。 这不好。
首先,我们来build立一些东西。
您应该有多个域控制器。
您应该至less在两个域控制器上运行DNS。
Active Directory客户端(您的内部域join的PC)应该只指向他们的DNS的DC。
为什么发生这种情况?
好吧,现在已经不存在了,让我们来谈谈你为什么遇到你。 您似乎有一个名为sightly.com的内部Active Directory。 听起来这也是你公开注册的网站。 域控制器具有他们拥有的DNS区域的SOA和NSlogging。 他们是这个地区的权威。 这意味着任何使用DNS的内部客户端都会假设您的DC拥有sightly.com区域中的所有主机。 如果您有一个名为sightly.com的外部托pipe的公共网站,您会注意到您的内部客户端无法访问,除非您拥有像www.这样的子域名www. configuration它。 这是因为您的域控制器将自己注册为与DNS中的父 Alogging相同的 sightly.com 。
所以,你可以看到这里有一个问题,因为你现在有两套DNS服务器,认为它们对同一个sightly.com区域是权威的。 如果没有像www.这样的东西,你永远无法到达外部的sightly.com www. 除非您在每个DC上运行Web服务以在外部redirectstream量(实际上不这样做,这很糟糕)。 只有在您的域控制器的sightly.com区域副本上复制外部DNSlogging时,才能到达sightly.com子域名。
你怎么解决它?
将您的Active Directory域名更改为sightly.com的未使用的子域名。 像internal.sightly.com或ad.sightly.com 。 如果你有很多机器join并configuration了GPO,这可能不是最好的select。 但是,通过它的声音,情况并非如此。 严重的是,如果可能的话 – 重新开始并正确命名您的AD。 我写了一篇关于命名Active Directory 的博文和一个问答 。 我强烈build议你在做任何事之前先阅读它们。
如果你不能或者不会重命名现有的域名(我仍然认为你应该),那么你必须在你的内部DNS区域为sightly.com每个外部资源制作一个重复的DNS条目。 因此,在云中的某个地方,您可能有一台DNS主机,用于跟踪sam.sightly.com和其他所有外部资源的DNSlogging。 您现在必须在您的域控制器上保留所有这些logging的重复logging。
TL; DR
维护内部DNS上的重复logging或重命名您的AD域。 如果我是你,我会尽可能重命名。
自然。 因为您的内部DNS服务器对于sightly.com DNS名称空间是权威的。 当使用内部DNS服务器的客户端请求sam.sightly.com时,DNS服务器在其sightly.com DNS区域中找不到该名称的DNSlogging。 您需要做的是在sam(sam.sightly.com)的内部sightly.com DNS区域中添加一个DNSlogging,指向sam.sightly.com Web服务器的外部IP地址。