Como fazer com que o Windows Server DNS use o arquivo hosts para resolver nomes de host específicos

A última parte deste post está errada. Fiquei com a impressão, com base em algumas coisas que eu tinha lido na web (se é na web, deve ser verdade!) Que parte das tarefas do Windows DNS Server Service para criar seu cache foi também carregar seu arquivo host em cache juntamente com os dados da zona local. Eu procurei em volta e não consegui encontrar provas concretas disso. Eu testei a teoria em minha própria máquina Server 2008 R2 e descobri que o arquivo hosts não foi usado para construir o Cache do Servidor DNS.

No entanto, acredito que tenho uma solução um pouco mais elegante que o Massimo. Em vez de criar uma zona autoritativa para toda a zona nlscan.com, basta criar uma zona denominada mailserver.nlscan.com e colocar um registro A sem nome nessa zona. O registro A sem nome terá o mesmo nome da zona e você poderá fornecer o endereço IP desejado. Todos os outros domínios sob o nlscan.com, assim como o próprio nlscan.com, serão resolvidos pelo DNS público.

Acabei de testar isso no meu próprio servidor DNS do Servidor 2008 R2 e consegui fazer o site do meu amigo (nessus.nl) resolver através de servidores DNS públicos, mas o subdomínio específico (blog.nessus.nl) foi resolvido para um Apple. com endereço IP. Experimente e veja se funciona para você.

Início da postagem mais antiga e errada:

Se meu entendimento estiver correto (EDITAR: e não é), quando o cache do DNS for criado na máquina do Server 2003, ele extrairá entradas do arquivo de hosts, bem como seus dados de zona. Colocar 172.16.0.10 mailserver.nlscan.com no arquivo hosts da máquina do Server 2003 deve resolver o problema. Reinicie seus serviços DNS depois de alterar seu arquivo de hosts.

Use ipconfig / displaydns em qualquer máquina Windows (especificamente, sua máquina DNS Server 2003) para ver as entradas do arquivo host. Também tenha em mente que as respostas negativas são armazenadas em cache em seus clientes, portanto, sempre execute ipconfig / flushdns nos clientes com os quais você está experimentando. Caso contrário, você acabará abusando de vários objetos duros enquanto se pergunta por que seus clientes não conseguem resolver um nome que você acabou de digitar em um arquivo de zona / hosts. =)

Você tentou isso e falhou?

O desejo de ter usuários internos obtendo IPs internos para recursos enquanto usuários externos obtêm IPs externos para esses mesmos recursos é comum. É referido como DNS do cérebro dividido. Você tem um servidor DNS voltado para a Internet e outro servidor DNS interno para usuários locais. Usuários internos usam DHCP em sua rede e um servidor DHCP que você anuncia o servidor DNS interno. Quando os usuários estão fora do escritório, o servidor DHCP os atribuirá a um servidor DNS que só saberá sobre a zona externa.

Você parece querer dividir o DNS do cérebro sem realmente hospedar a zona internamente. Você sugere que hospedar a zona internamente é problemático porque você não deseja que os usuários obtenham o IP interno quando estão trabalhando em casa, mas isso não faz sentido porque, quando estão em casa, estão recebendo o IP de um servidor DHCP diferente isso não vai anunciar seu servidor DNS interno. Ele vai anunciar o servidor DNS de seu ISP, que só saberá sobre sua zona externa e, portanto, apenas fornecerá a eles endereços IP externos.

Por fim, não acho que você tenha sucesso em pedir a um servidor DNS que forneça registros do arquivo hosts no servidor DNS. Um servidor DNS serve registros de seus arquivos de zona. O arquivo de hosts locais nesse servidor DNS propaga entradas no cache de resolução do cliente local, que é aplicável somente a pesquisas nessa máquina. Essas entradas não são servidas pelo servidor DNS, que é um mecanismo diferente.

Leia o DNS do cérebro dividido - é a maneira normal de lidar com essa situação.

Wes: Não tenho certeza de quem ditou você, mas gostaria de esclarecer o uso do arquivo hosts: O arquivo hosts é usado pelo componente de resolução do cliente DNS, não pelo componente do servidor DNS. Uma entrada no arquivo de hosts em um servidor DNS será usada pelo servidor DNS quando estiver atuando como um cliente DNS. Por exemplo, uma entrada no arquivo hosts do meu servidor DNS W2K8 como este:

1.1.1.1 test.test.com

é carregado no cache do cliente DNS do servidor DNS (não no cache do servidor). Se eu pingar test.test.com do meu servidor DNS, ele retorna 1.1.1.1 conforme o esperado. Se eu, então, executar o nslookup no servidor DNS e pedir a ele para test.test.com, ele retornará o endereço IP público correto registrado para test.test.com, pois o componente do cliente DNS no servidor DNS está solicitando agora o componente do servidor DNS (do jeito que qualquer outro cliente DNS faria). É uma idéia confusa, mas o servidor DNS também é um cliente DNS e, quando o componente do cliente DNS é acionado, ele atua como qualquer outro cliente DNS, observando seu próprio cache de cliente DNS, incluindo qualquer entrada. -carregado do arquivo de hosts. Somente quando o componente de cliente DNS usa o componente do servidor DNS (consultando o (s) servidor (es) DNS configurado (s) nas propriedades TCP \ IP, o cache do servidor DNS será preenchido com as informações corretas.

Qualquer cliente DNS consultando o servidor DNS sempre obterá a resposta "real" e não a entrada de hosts porque o cache do cliente DNS do servidor DNS é usado pelo próprio servidor (como um cliente DNS) e não pelo componente do servidor DNS.

Até onde eu sei, não há como fazer com que o DNS do Windows use o arquivo hosts para lidar com a resolução de nomes; mas isso não é necessário.

Você pode criar com segurança uma zona em seu servidor DNS interno com o mesmo nome de uma zona pública da Internet; o que acontecerá é que seu servidor manipulará solicitações de nomes nessa zona usando seus próprios dados, em vez de encaminhar essas solicitações para os servidores de nomes com autoridade para essa zona; às vezes isso é chamado de "sombreamento", porque torna a zona pública "real" indisponível para o cliente interno, respondendo com dados "falsos".

O que você deve ter cuidado é, você deve preencher esta zona interna com todos os nomes que você precisa, mesmo usando endereços IP públicos, quando necessário; caso contrário, os clientes internos não conseguirão resolver esses nomes.

Digamos que sua zona pública seja assim:

www.nlscan.com    202.101.116.8
mail.nlscan.com   202.101.116.9

Você deseja que clientes internos resolvam o mail.nlscan.com como 172.16.0.10; tudo bem, então crie uma zona "nlscan.com" no servidor DNS interno e coloque "mail.nlscan.com - > 172.16.0.10" nela.
Mas agora seus clientes internos não podem resolver "www.nlscan.com", porque o servidor acha que é autoritativo para essa zona, por isso não responderá à consulta (porque não sabe sobre esse host), mas também não vai encaminhá-lo para ninguém.
Para resolver isso, você precisa colocar "www.nlscan.com" também dentro de sua zona interna; ele pode apontar para o seu verdadeiro endereço IP público se você quiser que seus clientes o acessem dessa forma, ou você pode usar o mesmo redirecionamento que está usando para "mail.nlscan.com", se "www" também estiver sendo encaminhado pelo seu firewall para algum servidor interno.
O mesmo princípio se aplica a qualquer nome na zona.

Esta configuração não terá impacto em clientes externos ou em qualquer um dos seus usuários que esteja temporariamente fora de sua rede, porque essa zona "sombra" interna nunca ser visível a partir da Internet.

Nevermind o hostfile, basta adicionar uma nova zona no DNS mail.domain.com e adicionar um host na zona. deixe o nome em branco (ele usará automaticamente o nome da zona) e insira o endereço IP do servidor de correio local; -)