我有一个名为internal.domain.org的2008 R2 AD域的networking设置。 我们的外部托pipe网站使用www.domain.org和domain.org。 我希望用户能够访问我们的RDS服务器 – machinename.internal.domain.org – 在局域网内部或外部使用相同的域名。 这将是remote.domain.org。 从外面很容易,但在内部我迷路了。 尝试拆分DNS,可以很容易地将remote.domain.orgjoin到内部RDS机器,但是它可以在局域网内打破对外部网站的访问。
问题似乎是,当我创build一个名为domain.org的正向查找区域时,它出现了一个名为internal的子文件夹,而不是普通的文件夹集合。 我为*和www添加logging,但无法到达外部。 我在这里离开了我的联赛。 有什么想法吗?
谢谢,
使用拆分DNS(水平分割),但不能在运行Microsoft软件的服务器上 – 它不起作用。
在本地DNS recursor / cacher上,通常可以为FQDN创build特定的覆盖,以映射到不同的IP。 这只会将一个CI添加到您的CMDB中,而且根本不是特殊的或复杂的。
根据您的设置,您通常在网关系统上执行此操作。 例如在pfSense上,可以使用底部的服务 – > DNS服务器中的GUI来完成。 由于您没有发布您正在使用的内容,因此无法为您的系统提供示例。
阐述我的答案:
这是为什么水平分割DNS工作和需要的确切案例。 如果您有多个入口指向需要不同IP访问的服务,并且您正在使用FQDN访问它,则DNS正是如何解决的。
通常情况下,有三种非常常见的情况,根据你的员工工作的地方来玩:
有时候,多个VPN连接或隧道在哪里,这可能会使事情进一步复杂化。 在许多情况下,这可以通过路由和防火墙来解决,但是这会创build更多的configuration项目,以至于每当您需要将服务configuration为可以从多个位置访问时,您的CMDB将被简单的浪费。
在许多设置中,Windows服务器需要授权的区域可以简单地在主路由器,网关或DNS服务器上进行configuration,以便您可以为整个DNS需要configuration一个高性能单点configuration。 唯一的缺点是,如果客户端需要到默认DNS服务器进行区域传输或远程DNS更新,则它将不再起作用。 然而,这通常不再是客户端 – 服务器设置的情况。
split-DNS在这种情况下的工作方式是这样的:
因为只需要两个不同的DNSlogging(公共和LAN),所以这是简单可靠的configuration。 不需要像BIND那样的意见,或者PowerDNS的意见实现,或者Unbound和重写支持。 视图和拆分DNS不在Microsoft DNS中实现,这就是为什么在这种情况下,这不是一个选项。 (请参阅http://en.wikipedia.org/wiki/Comparison_of_DNS_server_software进行比较)
第二个注意事项:如果你有pfSense,你可以简单地创build一个L2TP over IPSec或者OpenVPN隧道,这样人们可以远程访问。 虽然它确实需要在客户端系统上安装软件,但它不需要WAN可访问的RDS。