我有一个networking有很多不同的子网和VLAN。 一些是专门的服务器区域,另一些是用于客户端或简单的传输子网。 我们使用MS Active Directory,MS DHCP和MS DNS,这些都是正常的配合,主机名从DHCP自动添加到各自域的DNS。 我们的服务器静态添加在DNS中,因为它们不使用DHCP。
我们的客户端和服务器区域基本上被分类为公共,内部或安全。 自然,这些区域之间的交通非常有限。 内部和安全区域中的客户端和服务器是同一个域的成员,并且在这些区域的每一个中都有共同托pipe的DC和DNS来处理区域本地stream量。 同一个域中的所有DC和DNS服务器都相互同步。
我们看到的问题是,当客户端或服务器使用内部区域DNS来parsing域名(例如:ad.company.com)时,我们也parsing了安全区域中的DC,反之亦然,安全区域获取内部DC以及当地的地区。
有没有办法在MS DNS回答来自安全区域的请求,只有该区域的地址,而类似的内部区域? 我想象一种ipfilter或规则集,可以定义来自ex 192.168.10.0/24的请求得到192.168.10.10和192.168.20.0/24得到192.168.20.10作为解决的答案。
拆分域名使我们能够拥有单独的域名不是一个选项。 我们的系统也非常复杂,所以我们不能完全理解哪些系统需要来自DNS的授权答案,所以我们实际上不能build立一个转发到域的断开的DNS服务器。
任何人都可以请给我一些关于如何解决这个问题或解决它的好办法的提示?
谢谢!
编辑:
问题不在于基于Windows的服务,而在于使用第三方应用程序,例如半径服务器,应用程序和进行LDAPsearch和authentication的网站等。
由于您的数据中心是同一个域的所有成员,因此在域中执行主机查找将对所有logging进行循环,无论它们是在您的安全域还是本地域中。 但是,如果创build了单独的站点并在AD的站点和子网MMC中关联了正确的子网,则客户端应该在其各自的区域/站点中使用DC。
你看到一个实际的身份validation问题?