Внутренний делегат DNS на внешний хост

Мы столкнулись с проблемой внутреннего делегирования DNS.

Вот описание нашей архитектуры и проблемы:

Архитектура

Domain1

• DHCPDNS1 и DHCPDNS2 (Windows Server 2012)

Domain2

• extDNS1 и extDNS2 (Windows Server 2003) - внешний DNS
• intDNS1 и intDNS2 (Windows Server 2003) - внутренний DNS для серверов Domain2
• srv1 и srv2 (Windows Server 2003) - веб-серверы

Вот описание нашей архитектуры: У нас есть два домена Active Directory (леса) в нашей среде. Первый - это "Domain1" (который мы используем для серверов общего назначения и пользователей / клиентских компьютеров) и "Domain2" (который мы используем для серверов веб-разработки). Домен2 также включает в себя наши внешние DNS "extDNS1" и "extDNS2". У нас есть довольно много веб-сайтов, которые размещаются снаружи (за пределами "Domain1" и "Domain2"), но на них необходимо ссылаться внутри наших веб-серверов ("srv1" и "srv2") в "Domain2" для интеграции с другими веб-сайтами и порталами., Эти веб-сайты используют "extDNS1" и "extDNS2" в качестве DNS. Чтобы "srv1" и "srv2" могли ссылаться на эти внешние серверы, мы настроили делегатов для этих доменов во внутреннем DNS в Domain2 на серверах "intDNS1" и "intDNS2". Эти делегаты указывают на наши серверы "DHCPDNS1" и "DHCPDNS2" в "Домене1" для получения внешнего DNS-адреса. "DHCPDNS1" и "DHCPDNS2" являются нашими DHCP-серверами.

Эта настройка работала отлично, пока у нас не было "DHCPDNS1" и "DHCPDNS2" на Windows Server 2008. Недавно мы перенесли эти два сервера на Windows Server 2012 с теми же настройками DHCP и DNS, которые были у них ранее. После миграции на "srv1" или "srv2" мы не можем разрешить IP-адреса наших доменов, делегаты которых указывают на "DHCPDNS1" и "DHCPDNS2", при пинге.

Вот некоторые наблюдения и некоторые вещи, которые мы попробовали:

1. Если мы пропингуем эти субдомены на любом клиентском компьютере или сервере в Домене 1 или на DHCPDNS1 или DHCPDNS2, он может получить внешний IP-адрес, а затем сохранить его в своем кэше распознавателя DNS. Пока эти записи существуют в кэше распознавателя DHCPDNS1 или DHCPDNS2, srv1 и srv2 (и все серверы в Домене2) могут проверять связь с этими поддоменами. Когда срок действия записей кэша распознавателя на DHCPDNS1 и DHCPDNS2 истекает, ping с серверов Domain2 не работает. Помните, что это только для тех доменов, у которых есть делегат, указывающий на DHCPDNS1 и DHCPDNS2. Опять же, наша цель состоит в том, чтобы серверы в Домене2 могли извлекать внешний IP-адрес, что невозможно, поскольку внешний DNS находится в одном домене.

2. Когда динамические обновления изменились с "Нет" на "Небезопасный и безопасный" на DHCPDNS1, серверы Domain2 сразу же смогли успешно направить свои запросы ping через DHCPDNS1 и DHCPDNS2. Это работало в течение 7 дней, и теперь запросы ping не могут быть разрешены на всех серверах Domain2. Я не уверен, имеет ли это какое-либо отношение к Aging на DHCPDNS1, который по умолчанию настроен на 7 дней.

Надеясь, что кто-то может помочь пролить свет здесь. Опять же, наша цель состоит в том, чтобы все серверы в Домене2 (который включает в себя внешние DNS) должны иметь возможность пинговать внешние адреса (которые используют extDNS1 и extDNS2 в качестве своего DNS). Таким образом, внутренний DNS в домене Domain2 должен указывать на внешний IP-адрес.