DNS免费XP工作站和AD？

备选scheme1是一种可行的方法。 XP域名成员可以使用Bind提供填充所有正确的SRVlogging。 假设您将要使用AD自己的集成DNS为您的域的其余部分，它不应该很难pipe理，但你也可以做一个非集成的MS DNS（不安装在DC上）而不是绑定，但你会必须禁用根提示[ 按照这个 ]。

选项2不会工作。 如果没有来自第一个DNS的响应，如果第一个DNS响应的失败依然被视为响应，则XP客户端上的次要DNS服务器将仅被使用。

备选案文3在我对1的答复中已有介绍。

作为一个一般的评论，使用非MS DNS在域中是可行的，但它几乎总是比它值得（IMO）更多的工作。

AD需要DNS（没有其他select），并且与AD集成的DNS（即MSdynamicDNS）最适合。 您需要坐下来重新考虑如何阻止未经您的自助服务terminal机批准的网站。

在我看来，最明显的解决scheme就是不要将自助服务terminal机添加到您的AD中，并继续保持原样。 你似乎没有问题，至less是合理的，我不认为有任何要求，所以为什么不呢？

请不要在Windows客户端环境中使用BIND – 这是一个痛苦的脖子，你会打破东西，不得不花费很多时间做ADdynamicDNS通常只是自动的东西。 用DNS解决这个问题是使用大锤来挂画。

查看免费的Windows SteadyState工具。 SteadyState是一个免费的工具，专为图书馆，学校和信息亭实施共享计算机的人们而devise。 您可以设置各种政策，包括限制所有的互联网访问和白名单特定的网站。

活动目录可以做你默认需要的。 设置您的自助服务terminal服务器从域控制器获取他们的DNS。 在域控制器中你应该有一个。 域，所以它只会发送域的DNS条目，而不是转发别的东西。 请将您的特定地址保留在每个信息亭的主机文件中，或将其添加为DC中的条目，以使您的更新更轻松。 指出你的计算机需要完整的DNS访问在第二个DC复制域DNS条目，但不是其他条目。

这里有一个想法（听起来很奇怪），你将不得不testing它，看它是否工作：

我的假设是，你允许他们去一些网站的事实，你要添加条目的主机文件。 基于这个假设，我的想法是这样的：

1. 在您的DC上设置AD集成DNS。

2. 禁用DC \ DNS服务器上的recursion。

3. 在DC \ DNS服务器上为您允许用户转到的域设置条件转发器。 例如，Google为google.com设置了一个条件转发，以使用ns1.google.com，ns2.google.com等。

这将允许您“授权”的域（通过添加条件转发器）被用户访问，并将阻止所有其他外部域。 您可以通过为每个域运行NS nslookup来查找哪些转发器用于每个“授权”域。

这似乎是最简单的解决scheme。 您的内部DNS不复杂，它允许您只使用一个DC \ DNS基础设施，而不是尝试pipe理多个DNS服务器（内部parsing服务器和外部parsing服务器），并通过允许您configuration每个客户端相同的DNS设置。

你可以实现一个代理locking他们到某个白名单，并允许其他机器不受限制的访问，我自己使用它，加速networking的所有，释放路由器处理这么多的连接，并通常提高您的pipe理生活。

日志帮助太..知道你的用户一直在做什么，分析使用/浪费的趋势，弄清楚，如果他们中的任何一个已经感染了networking访问木马..然后你只允许代理通过路由器，否认所有其他IP（假设信息亭用户不能更改IP）。 在带宽保存道奇！

这样，不必担心你的DNS基础设施，更容易维护和文件！

如果你想得到真正的时髦，鱿鱼让你运行同时复制，所以你可以运行一个完整的代理服务器，另一个为您的客户端（不同的运行级别和带宽分配等），configuration他们通过DHCP服务器整个混乱得到自动sorting！

http://www.squid-cache.org