Como posso fazer com que meu servidor DNS do AD resolva solicitações de um registro DNS da Internet para um endereço IP interno para clientes internos?

Navegue suas respostas
5

Eu tenho a seguinte situação:

Um servidor da web que reside na intranet da nossa empresa tem um endereço em um intervalo particular. Certas restrições de licença nos impedem de alterar o endereço particular. A porta 443 é tornada pública usando o encaminhamento de porta em um endereço público em nosso gateway. Até aí tudo bem.

Externamente, usamos um servidor Linux hospedado com o Bind9 como o servidor de nomes autoritativo para o domínio mycorp.com. Este servidor resolve nosso FQDN do servidor da Web para o endereço público externo, portanto:

superwebsite.mycorp.com - > 209.85.148.103 (desculpas ao google)

Internamente, usamos um servidor do Windows 2003 Active Directory como um servidor DNS. Esse servidor é autoritativo para o domínio da nossa intranet e resolve o FQDN interno do nosso servidor para o endereço particular, portanto:

superwebsite.mycorp.localdomain - > 192.168.1.25

Compramos recentemente um certificado SSL comercial para superwebsite.mycorp.com, por isso precisamos do nosso servidor de AD interno para resolver o FQDN público para o endereço particular, por isso:

superwebsite.mycorp.com - > 192.168.1.25

Nós também gostaríamos de servir repositórios Subversion deste servidor, então é importante que o URL externo seja o mesmo que o interno, caso contrário os desenvolvedores terão problemas com seus espaços de trabalho ...

Como posso dizer ao Active Directory para resolver esse FQDN específico para o endereço particular? Obviamente, não consigo criar a zona superwebsite.mycorp.com dentro da intranet: isso faria com que o servidor DNS do AD se considerasse autoritário e ignorasse o servidor autoritativo real     

por Frank Brenner 05.10.2011 / 22:20

2 respostas

4

I can't create the zone superwebsite.mycorp.com inside the intranet: this would cause the AD DNS server to consider itself authoritative and ignore the real authoritative server outside of the intranet.

Você pode, e essa é a única maneira de obter o que deseja. Eu tive configurações semelhantes no passado, e tão sujo quanto isso vai fazer você se sentir, eu nunca tive problemas para fazê-lo.

A chave é criar uma zona cujo nome corresponda ao FQDN, superwebsite.mycorp.com, e não a mycorp.com como um todo. Em seguida, crie um novo registro A na zona com o IP relevante.

A única vez que isso apresentará um problema é:

  • Quando o IP muda, você deve se lembrar de atualizá-lo internamente.
  • Se você já usou nomes de 4º nível, ou seja, algo.superwebsite.mycorp.com, também é necessário manter esses dois no DNS da Internet e no DNS interno.
por 05.10.2011 / 22:33
2

Você realmente pode criar um registro em uma zona sem ter essa zona definida em seu servidor DNS; a chave é tratar esse registro como uma zona de nível inferior:

  • Crie uma zona no seu DNS interno chamado "superwebsite.mycorp.com".
  • Crie um registro "A" vazio, apontando para o endereço IP interno do seu servidor.

O registro vazio corresponderá à zona em que ele está, portanto, corresponderá às consultas de "superwebsite.mycorp.com"; seu servidor DNS o tratará como uma zona, mas na verdade se comportará como um registro A padrão.

    
por 05.10.2011 / 22:35

Tags

Por que ls --color = always 'pode ser lento para um diretório pequeno? Atribui o compartilhamento DFS à zona da intranet via GPO?