Wie konfiguriere ich meine internen DNS, um externe Ressourcen aufzulösen?

8

Ich habe ein internes DNS als Teil meines AD-Setups. Ich habe ein gehostetes DNS für öffentliche Ressourcen (die sich normalerweise irgendwo in einem Rechenzentrum befinden).

Gelegentlich muss ich in unserem internen Netzwerk auf eine öffentliche Ressource zugreifen - zum Beispiel auf www.ourcompany.com, da in unserem internen DNS kein WWW-Eintrag vorhanden ist. Ich kann den Namen nicht auflösen.

Wie konfiguriere ich mein DNS so, dass nicht erkannte Namen an das öffentliche DNS weitergeleitet werden?

Update: Laut Kommentar ja, ich habe eine "Split-Horizon" -DNS (was zu dieser Zeit eine gute Idee war). Dieses AD-Setup ist weniger als 24 Stunden alt und kann bei Bedarf wiederholt werden - obwohl ich es tun würde lieber nicht)

windows-server-2008 domain-name-system active-directory Ralph Shillington
quelle
4
Haben Sie ein DNS mit geteiltem Horizont? Ist Ihr AD-Namespace ourcompany.com sowie Ihre öffentlich zugängliche Zone?
MDMarra

Antworten:

12

Es hört sich so an, als hätten Sie DNS mit geteiltem Horizont, bei dem Ihr AD-Namespace und Ihr öffentlich zugänglicher Namespace identisch sind. In diesem Fall müssen Sie wwwin Ihrer internen AD-Zone einen A- Eintrag erstellen und die richtige externe IP einstellen. Ohne dies können interne Clients das Problem nicht lösen. Dies liegt daran, dass Sie zwei Servergruppen mit nicht zusammenhängenden Informationen haben, die beide für Ihre DNS-Zone maßgeblich sind.

Dies ist der genaue Grund, warum Microsoft die Verwendung eines nicht verwendeten Domänennamens der dritten Ebene für Ihren AD-Namespace empfiehlt . Wenn Sie beispielsweise mycompany.comöffentliche Websites besitzen und darauf hosten, sollten Sie etwas wie corp.mycompany.comoder internal.mycompany.comfür Ihren Active Directory-Namespace verwenden. Wenn Sie eine Domain umbenennen können (dh Sie haben eine einfache Client / Server-Infrastruktur ohne Exchange in der Domain), sollten Sie sich diese ansehen. Wenn Sie eine Domain-Umbenennung nicht durchführen können, um dies zu beheben, treten Kopfschmerzen auf.

Bearbeiten: Gemäß Ihrem Update sollten Sie dies unbedingt wiederholen, da die Installation nur 24 Stunden alt ist. Absolut kein Zweifel. Eine Split-Horizon-DNS-Situation ist niemals eine gute Idee, wenn sie vermieden werden kann. Sie können immer mycompany.comnoch der NetBIOS-Name der Domäne sein, sodass Benutzer MyComapny\Useranstelle von so etwas sehen Corp\User, aber der FQDN Ihres AD-Namespace und der FQDN Ihres öffentlich zugänglichen DNS-Namespace sollten nicht identisch sein.

MDMarra
quelle
Ich habe auch ein Split-Horizonte-Setup. Wir hatten DNS konfiguriert, wo externe Site gut funktionierte. Wir haben jedoch die Hosting-Unternehmen geändert und die neue Adresse vom externen Host lädt die Site nicht direkt. Sie müssen eine hostbasierte Lösung durchführen. Wir fügen also einen A-Eintrag mit der IP-Adresse und einem CNAME hinzu, können jedoch nicht über unser Netzwerk auf die Site zugreifen.
Tigran
3

Gehen Sie in Ihr DNS Management Snapin. Klicken Sie mit der rechten Maustaste auf den DNS-Server, den Sie verwalten. Wählen Sie die Registerkarte "Weiterleitungen" und geben Sie die DNS-Server ein, an die Sie Anforderungen weiterleiten möchten.

Geben Sie hier die Bildbeschreibung ein

Mike
quelle
Dies funktioniert nicht, wenn es DNS mit geteiltem Horizont gibt, wie es sich anhört.
MDMarra
Ja. Ich dachte das, ging aber mit der einfachen Antwort.
Mike
2
Ein Windows Server 2008-DNS-Server, der nicht für die Verwendung von Weiterleitungen konfiguriert ist, verwendet die Stammhinweise. Dies ist die Standardkonfiguration, wenn Sie die DNS-Rolle installieren. Über die Installation der Rolle hinaus müssen keine Schritte unternommen werden, damit Windows Server 2008 DNS Abfragen für externe DNS-Einträge auflöst. Das Konfigurieren von Spediteuren ist eine Wahl, keine Voraussetzung.
Joeqwerty
1

Ihre interne Zone stimmt mit Ihrer externen Zone überein, oder? Company.com ist also Ihre interne AD-Zone und Ihre externe öffentliche Zone? Wenn dies der Fall ist, ist dies mit dem mir bekannten Windows Server-DNS nicht möglich.

Der Windows-DNS-Server ist für die Zone maßgeblich, sodass Anforderungen für die Zone nicht an einen anderen DNS-Server weitergeleitet werden, selbst wenn es sich um einen nicht vorhandenen DNS-Eintrag handelt.

Joeqwerty
quelle
0

Grundsätzlich sollte es ziemlich einfach sein, eine PowerShell, VBScript oder ein anderes Tool zu erstellen, das regelmäßig einen externen DNS-Server abfragt, die externen DNS-IP-Adressen für bestimmte Hosts liest und diese auf dem internen Windows-Server entsprechend aktualisiert.

Ich habe mehrmals gesucht, aber noch keinen gefunden und bin nicht geneigt, ihn selbst zu schreiben.

Ken Wallewein
quelle
Für welche Gastgeber? Ist das nicht der Punkt der Frage? Er muss unbeantwortete Anfragen an einen anderen DNS-Server weiterleiten ... damit er nicht weiß, was er "regelmäßig abfragen" soll, bis die Anfrage
eingeht