Complete o arquivo hosts no servidor de gateway de e-mail com os servidores que você gostaria de resolver pelo DNS.
Temos um gateway de e-mail sendo executado em uma DMZ, que é um retransmissor para nosso servidor de e-mail interno que armazena todas as correspondências. Vimos a necessidade de usar o DNS da DMZ para resolver nomes de serviços internos (como o servidor de email interno, etc.).
Devemos permitir consultas DNS da DMZ para a LAN? Isso resultaria em uma violação grave no caso de alguns dos servidores DMZ serem comprometidos. Por outro lado, não permitir as consultas ao DNS nos torna muito menos flexíveis.
Eu deparei com o conceito de DNS de cérebro dividido, que é, eu suponho, o que resolveria o problema, mas eu não entendo como isso pode ser feito em um ambiente integrado do Windows AD.
Complete o arquivo hosts no servidor de gateway de e-mail com os servidores que você gostaria de resolver pelo DNS.
Então, depois de discutir por um bom tempo, acabamos usando o servidor interno da DMZ. A longo prazo, isso parece muito mais fácil e flexível de gerenciar e, dado os compromissos que se tem que fazer; por exemplo. para permitir a comunicação da DMZ para a LAN de qualquer maneira, isso não parece mais ser um mal.
Obrigado pela ajuda de todos!
Esse tipo de situação é o motivo pelo qual você deve tentar evitar a criação de dependências nos domínios integrados do AD fora da zona de segurança que eles ocupam. Sem esse demark, você está preso encaminhando consultas para essa zona de segurança e isso deixa as pessoas de segurança irritadas.
Se você quiser evitar esse problema, precisará instalar uma infraestrutura DNS autoritativa adicional separada dos domínios integrados do AD e não na mesma zona de segurança dos DCs. . Crie um novo domínio roteado internamente para essa finalidade. Os recursores de DNS de outras zonas de segurança devem ter permissão para consumir dados desses servidores, disponibilizando esse novo namespace de DNS em toda a empresa. (ou pelo menos onde você precisar)