我试图在服务器2012 R2上设置Active Directorynetworking,并希望AD的DNS仅在内部使用(例如:domain-controller.company.com)以及一些需要内部和外部可访问性的logging(例如: mail.company.com)在内部networking上使用内部IP,最后是一些只需要外部访问的logging。
我唯一能够想到或查找的解决scheme是使用处理所有内部logging的子域,并使用普通的company.com域作为所有外部logging。 这两个似乎意味着我必须分开pipe理两个DNS服务器。 是这些最好的方法之一,还是我搞乱了什么地方?
强烈build议您创build单独的内部和外部DNS区域,以避免向整个互联网披露有关拓扑的每个细节。 通过保持数据分离,风险得到最好的缓解。 同样,通过隔离面向公众的AD及其自动更新function,可以防止另一种可能被用来劫持你的logging的机制。
没有完全拆分DNS的方法是使用视窗或水平分割的DNS,而Windows不支持。 所以无论如何,你必须pipe理第二套DNS服务器。
同样,你可以用不同的数据(基本上是水平分割)或者一个子域来使用同一个域。 这是你的select。 有关更多信息,请阅读Windows Active Directory命名最佳实践? 。