我在AD域中为一个具有拆分DNSconfiguration的公司工作。 我知道这不太理想,但我不能推动这一领域的变革。 我拥有Active Directory不涉及的权威DNS(内部和外部),另一个团队拥有域控制器。
背景:
example.com的分割域,它位于所有的域控制器上。 sub.example.com )使用NSlogging委派给DMZ中的公有IP地址。 我有一个需要消除这些IP地址使用DMZ之外的内部IP地址。 为了表示这个:
example.com. (DCs are authoritative) sub.example.com. (subdomain not managed by the DCs)
我想有sub.example.com. NS sub.example.com. NSlogging转换为条件转发器,将stream量发送到标准转发器,但我的域pipe理员告诉我们Windows DNS不允许转发器在正向查找区域内。
这是否是不受支持的configuration? 其他DNS产品与权威区域下的转发器没有任何问题,所以我想确保在使用不同的策略之前,我正在处理正确的信息,比如绕过转发器的每个DC的防火墙漏洞。 (哎呀)
我已经在Windows 2k3中审查了将子域的转发请求转发给另一台DNS服务器,并且接受了一个build议NS代表团接受的答案,该代表团并没有回答这个问题。
我将在这个前言中声明我并不是很熟悉MSDNS的细节。
首先,我可以确认,如果您尝试添加这样一个转发区域(例如example.com作为常规区域存在时的sub.example.com转发区域),您将遇到以下错误对话框:
--------------------------- DNS --------------------------- A problem occurred while trying to add the conditional forwarder. A zone configuration problem occurred. --------------------------- OK ---------------------------
(由Windows自动生成的光荣的ASCII表示)
但是,正如“ 使用转发器”文档中所述(重点添加):
DNS服务器无法转发其所在区域中域名的查询。 例如,区域microsoft.com的权威DNS服务器无法根据域名microsoft.com转发查询。 microsoft.com授权的DNS服务器可以转发对以example.microsoft.com结尾的DNS名称的查询,如果example.microsoft.com委托给另一个DNS服务器。
也就是说,如果您sub.example.com在其他地方委托sub.example.com (限制您的example.com区域的范围),那么它确实允许您为sub.example.com添加转发区域。
实际上,为了实现这个目标,你可能会依赖于你的场景的细节。
值得注意的是,MSDNS出于某种原因,似乎忽略了用于转发区域的RD (recursion所需)位(即,即使在未设置RD时也转发),所以看起来上面提到的委派并不是实际上在这个设置中可见。