我有一个DNS和活动目录服务器后面的NAT(我必须)。 在DNS服务器上,AD会自动为私有IP地址添加NSlogging。 如何设置一个策略来响应特定子网的本地NSlogging?
abc.com 10.0.0.2 private 1.1.1.2 public 当我查询名称服务器时,它返回两个NSlogging。
我需要这样的政策;
When query comes from 10.0.0.0/8 it should return 10.0.0.2 NS record When query comes from any other ip it should retun 1.1.1.2 NS record
您可以使用DisableNSRecordsAutoCreationregistry值禁用域控制器的自动NSlogging注册:
Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\ Value: DisableNSRecordsAutoCreation Value Type: REG_DWORD Value Data: 0x1
您还应该使用PublishAddressesregistry值来防止您的外部/公共地址在内部公布。
Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\ Value: PublishAddresses Value Type: REG_SZ Value Data: ip address(es), separated by spaces if multiple
要完全支持这些要求,您可以使用Windows Server 2016 DNS的新function。 请参阅以下内容:
https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/what-s-new-in-dns-server
DNS策略
您可以使用基于地理位置的stream量pipe理的DNS策略,基于一天中的时间的智能DNS响应,pipe理configuration用于裂脑部署的单个DNS服务器,在DNS查询上应用filter等等。 以下各项提供有关这些function的更多详细信息。
基于地理位置的交通pipe理。 您可以使用DNS策略来允许主DNS服务器和辅助DNS服务器根据客户端和客户端尝试连接的资源的地理位置来响应DNS客户端查询,为客户端提供最近资源的IP地址。
分裂脑DNS。 使用裂脑DNS,DNSlogging在相同的DNS服务器上被分割成不同的区域范围,DNS客户端根据客户端是内部客户端还是外部客户端来接收响应。 您可以为Active Directory集成区域或独立DNS服务器上的区域configuration裂脑DNS。