Split Brain DNS and DNS forwarding
This maybe unusual question but I would like to find out if this is possible.
We have several security zones behind firewall, let's call them LAN, DMZ and Backend.
There is a DNS server (bind, servername is ns1.domain.com) in DMZ zone, set as split DNS.Ie it resolves domain.com public addresses to the request made from the Internet and private NATed addresses for same domain.com domain to the requests coming from the LAN and Backend.
Все работает нормально, однако теперь я внедряю Windows 2008 AD в бэкэнд по мере роста серверной базы и управления базами данных SAM больше не вариант. Доменное имя Windows - DOMAIN.COM. Я понимаю, что это может сбить с толку установку, но это сделано чтобы все было просто в отделе имен.
Естественно, это требует использования Windows DNS, который находится на том же сервере AD.DOMAIN.COM.
DNS-зоны на этом сервере работают нормально, и я настроил сервер пересылки для ns1.domain.com для любых запросов, связанных с Интернетом.
Теперь вопрос. Если я хочу разрешить хост, расположенный в подсети DMZ с поддержкой NAT, от хоста Windows в Бэкэнде (т. Е. Использовать внутреннюю часть DMZ с разделенным мозгом), как я могу убедиться, что запросы на what_is_not_in_windows_domain.com_zone".domain.com пересылаются DMZ с внутренним разделением мозга? Возможно ли это вообще? Я понимаю, что могу жестко закодировать их в зону сервера Windows DNS, но это выглядит как обходной путь, а не решение...
Надеюсь, я был достаточно ясен:)
2 ответа
Я не думаю, что это возможно, AD.DOMAIN.COM считает, что это является официальным источником для этого домена и будет отвечать NXDOMAIN, несмотря ни на что.
Я бы действительно посоветовал вам создать поддомен для размещения вашей рекламы. По мере роста вашей установки это станет более серьезной проблемой, и ручное добавление хостов в обе зоны не кажется хорошей задачей.
Можно было бы запустить Active Directory с DNS-сервером BIND.
Что вы можете сделать, это объединить зоны и разрешить обновления с сервера AD.DOMAIN.COM.
Однако для этого требуется, чтобы зона DOMAIN.COM была динамической зоной.
Я не думаю, что это возможно. Внутренний днс-сервер Windows является авторизационным для domain.com и поэтому не будет пересылать запросы для domain.com на другой днс-сервер. Я думаю, что ваш единственный выбор - это добавить статические записи для DMZ-машин в бэкэнд-зону domain.com.