come configurare il mio DNS interno per risolvere risorse esterne

8

Ho un DNS interno come parte della mia configurazione di AD. Ho un DNS ospitato per risorse pubbliche (che in genere si trovano in qualche data center da qualche parte)

Occasionalmente, mentre sulla nostra rete interna, devo accedere a una risorsa pubblica, ad esempio www.ourcompany.com poiché non esiste un record www nel nostro DNS interno, non riesco a risolvere il nome.

Come configuro il mio DNS per inoltrare nomi che non riconosce al DNS pubblico.

Aggiornamento: come per il commento sì, ho un dns "split-horizon" (che sembrava una buona idea al momento) Questa configurazione di AD ha meno di 24 ore e può essere rifatta se necessario - (anche se lo farei piuttosto no)

windows-server-2008  domain-name-system  active-directory 
Ralph Shillington
fonte
4
Hai un DNS split-horizon? Il tuo spazio dei nomi di AD è ourcompany.com così come la tua zona pubblica di fronte?
MDMarra,

Risposte:

12

Sembra che tu abbia DNS a orizzonti divisi, in cui lo spazio dei nomi di AD e lo spazio dei nomi di fronte al pubblico sono gli stessi. In questo caso, dovrai creare un record A wwwnella tua zona AD interna e impostare l'IP esterno corretto. Senza questo, i client interni non saranno in grado di risolverlo. Questo perché hai due set di server con informazioni disgiunte che sono entrambi autorevoli per la tua zona DNS.

Questo è il motivo esatto per cui Microsoft consiglia di utilizzare un nome di dominio di terzo livello non utilizzato per lo spazio dei nomi di Active Directory. Ad esempio, se si possiede mycompany.come si ospitano siti Web pubblici su di esso, è necessario utilizzare qualcosa di simile corp.mycompany.como internal.mycompany.comper il proprio spazio dei nomi di Active Directory. Se puoi fare una ridenominazione del dominio (cioè hai una semplice infrastruttura client / server senza scambio nel dominio), dovresti esaminarla. Se non riesci a fare una ridenominazione del dominio per risolvere questo problema, hai qualche mal di testa.

Modifica: per il tuo aggiornamento, dovresti assolutamente rifarlo poiché l'installazione ha solo 24 ore. Assolutamente nessun dubbio. Avere una situazione DNS a orizzonte diviso non è mai una buona idea quando può essere evitato. Puoi comunque mycompany.comessere il nome NetBIOS del dominio, quindi gli utenti vedono MyComapny\Userinvece qualcosa di simile Corp\User, ma il nome FQDN del tuo spazio dei nomi AD e il nome FQDN del tuo spazio dei nomi DNS pubblico non dovrebbero essere gli stessi.

MDMarra
fonte
Ho anche una configurazione con orizzonti divisi. Avevamo configurato DNS dove il sito esterno funzionava bene. Ma abbiamo cambiato le società di hosting e il nuovo indirizzo dall'host esterno non carica direttamente il sito, ma devono fare una risoluzione basata sull'host. Quindi aggiungiamo un record A con l'indirizzo IP e un CNAME ma non possiamo accedere al sito dall'interno della nostra rete.
Tigran,
3

Vai al tuo Snapin di gestione DNS. Fare clic con il tasto destro sul server DNS che si sta gestendo. Seleziona la scheda "Server di inoltro" e inserisci i server DNS a cui desideri inoltrare le richieste.

inserisci qui la descrizione dell'immagine

Mike
fonte
Questo non funzionerà se esiste un DNS split-horizons, che sembra.
MDMarra,
Si . Ci stavo pensando, ma è andata con la semplice risposta.
Mike,
2
Un server DNS di Windows Server 2008 non configurato per l'utilizzo dei server di inoltro utilizzerà i suggerimenti di root. Questa è la configurazione predefinita quando si installa il ruolo DNS. Non è necessario eseguire ulteriori passaggi oltre all'installazione del ruolo affinché il DNS di Windows Server 2008 risolva le query per i record DNS esterni. La configurazione degli spedizionieri è una scelta, non un requisito.
joeqwerty,
1

La tua zona interna corrisponde alla tua zona esterna, giusto? Quindi company.com è la tua zona AD interna e la tua zona pubblica esterna? In tal caso, non è possibile farlo con DNS di Windows Server, di cui sono a conoscenza.

Il server DNS di Windows è autorevole per la zona per quanto lo riguarda, quindi non inoltrerà le richieste per la zona a un altro server DNS, anche se la richiesta riguarda un record DNS che non esiste.

joeqwerty
fonte
0

In linea di principio dovrebbe essere abbastanza semplice creare PowerShell, VBScript o altri strumenti che interrogano periodicamente un server DNS esterno, leggono gli indirizzi IP DNS esterni per determinati host e li aggiornano di conseguenza sul server Windows interno.

Ho guardato più volte ma devo ancora trovarne uno e non sono incline a scriverlo da solo.

Ken Wallewein
fonte
per quali host, però? Non è questo il punto della domanda? Deve avere richieste senza risposta inviate successivamente a un altro server DNS ... quindi non può sapere cosa "interrogare periodicamente" fino a quando non arriva la query.
Watki02
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.