Вопрос: новая зона DNS с переадресацией на внешний DNS


я прочитал DNS и зоны прямого просмотра но я не спрятал аську там.

У меня есть домен Microsoft с активным сервером каталогов и DNS-сервер для внутреннего использования. Мой локальный домен называется example.local и управляется этим сервером. Мне нужно иметь возможность добавлять local example.com (который управляется внешним открытым DNS-сервером, например GoDaddy). Но мне нужен локальный DNS-сервер для пересылки поиска в случае неиспользуемой записи.

Например: на общедоступном DNS-сервере у меня есть www.example.com -> 1.2.3.4

на локальном DNS у меня есть mail.example.com -> 2.3.4.5

Теперь мне нужно иметь возможность искать как www, так и mail.example.com из внутреннего (это нормально, конечно, искать только www из внешнего), но я не хочу перезаписывать его, я хочу поместить только mail.example .com на локальном сервере и что DNS-сервер отправит его DNS-провайдеру.

Является ли это возможным?

Благодарю.


7
2018-05-19 12:52


Источник




Ответы:


Будет что-то вроде этой работы для вас:

enter image description here


3
2018-05-19 14:48



О, отличная идея! Я попробую. - gabi
отказ от ответственности: я бы никогда не делал этого в своей среде. - Dusan Bajic
Да, мне нужно только для записи 1 А - gabi
Я знаю, что это старый вопрос / ответ, но если кто-то может понять, почему это не рекомендуется? (кроме других серверов, которые также не могут разговаривать извне только по этому адресу). - medoix
В этом нет ничего технически, но если вы это делаете регулярно, это может оказаться очень трудным для поддержания. - Dusan Bajic


Надеюсь, я понял вопрос, но на всякий случай я включу два сценария:

SCENARIO # 1 - вы хотите перенаправить нерешенные запросы извне

Это легко сделать, вы можете либо оставить по умолчанию один, который будет перенаправлять нерешенные запросы DNS на корневые серверы подсказок. Или вы можете пойти в Forwarders вкладка внутри Properties вашего DNS-сервера в инструменте администрирования DNS. Установите соответствующее внешнее полное доменное имя или IP-адрес внешнего DNS-сервера, на который вы хотите отвечать за перенаправленные запросы (например, вы можете использовать DNS-сервер вашего интернет-провайдера или что-то вроде 8.8.8.8, являющегося общедоступным DNS-сервером Google).

SCENARIO # 2 - вы хотите разрешить имена, которые у вас есть, например mail.example.com

Если вы хотите разрешать имена, которые обычно существуют снаружи для внутренних IP-адресов, например, ваш почтовый сервер, который вы размещаете внутри, вы можете создать авторитетные DNS-зоны прямого поиска для этого имени домена (example.com). Затем добавьте ВСЕ требуемые записи A, такие как MAIL, WWW, FTP и т. Д., И установите их IP-адреса либо как их внутренние, либо их внешние IP-адреса (если они не размещены локально). Вам нужно будет включить все записи A, такие как WWW, которые вы хотите, чтобы внутренние пользователи могли получить доступ через полное доменное имя DNS, поскольку после того, как локальный DNS-сервер (серверы) станет авторитетным для этого имени домена, он не будет перенаправлен на неразрешенные имена хостов извне это пункт.


2
2018-05-19 13:08



В Сценарии 2 вы говорите, чтобы создать новую локальную зону и поместить в нее все мои записи A, правильно? например, перезаписать внешний DNS. В сценарии 1 вы говорите, чтобы делать то, что мне нужно (я думаю), но сегодня у меня уже есть предложения вперед - сегодня у меня нет зоны example.com, поэтому все мои примеры example.com переходят к моему интернет-провайдеру. проблема в том, что я добавляю новую зону (example.com) на свой DNS-сервер, я не перенаправлен на внешний DNS, он продолжает говорить, что запись не найдена .. - gabi
Сценарий №2 «работает», но, по моему мнению, это неправильное использование DNS, поскольку оно блокирует доступ внутренних пользователей к фактическому авторитетному DNS-серверу (т. Е. Внешнему) для example.com. - Ryan Ries
проблема в том, что мне нужно получить доступ к различным IP-адресам из внутреннего и внешнего. Например, мне нужны пользователи в офисе, чтобы перейти на demo.example.com в качестве 1.2.3.4, а внешние пользователи в Интернете - на демонстрационный пример. .com to 20.30.40.50 ... Есть ли способ сделать это, помимо перезаписывания домена DNS (и добавить будущую запись дважды, один для мира один и один для моей внутренней). Благодарю. - gabi
Я не знаю другого способа @gabi, кроме дублирования зон внутри и снаружи (сценарий № 2). Возможной альтернативой, которая может быть лучше, было бы указать внутренние пользователи на внутреннее FQDN, например mail.example.local. - TheCleaner


Возможно, вы могли бы сделать что-то напуганное с помощью Bind views, но не с Microsoft DNS. С Microsoft DNS сервер является либо авторитетным для зоны, либо нет. Нет «полуавторитетных».

Вы можете настроить условный форвардер для example.com для пересылки все запросы на example.com на указанные серверы имен. Вы можете настроить зону заглушки для example.com для пересылки все запросы на example.com на указанные серверы имен. Но не то, о чем вы говорите. Если вы настроили зону прямого просмотра для example.com на своем внутреннем DNS-сервере, ваш DNS просто начнет возвращать NXDOMAIN для каждого запроса для * .example.com, который не находится в вашей зоне поиска.

Моим основным советом было бы (при условии, что у вас есть example.com) было бы назвать ваш внутренний Active Directory как поддомен example.com, например corp.example.com. Затем ваши внутренние клиенты должны быть настроены для поиска mail.corp.example.com, когда они хотят использовать внутренний почтовый сервер, и mail.example.com, когда они хотят использовать внешний почтовый сервер.


2
2018-05-19 13:09



что это NXDOMAIN? могу ли я использовать его для запроса другого конкретного DNS-сервера для записей? - gabi
NXDOMAIN - это код ответа, который DNS-серверы возвращают клиенту, когда запись не найдена в зоне, для которой этот DNS-сервер предположительно является авторитетным. (Чтобы быть авторитарным для зоны, нет DNS-серверов выше в иерархии для пересылки запроса.) - Ryan Ries