Eu tenho uma rede com várias sub-redes e VLANs diferentes. Algumas são zonas especializadas do servidor, outras são para clientes ou sub-redes de trânsito simples. Usamos MS Active Directory, MS DHCP e MS DNS, que estão cooperando normalmente com nomes de host adicionados automaticamente do DHCP ao DNS em seus respectivos domínios. Nossos servidores são adicionados no DNS estaticamente, pois não usam o DHCP.
Nossas zonas de cliente e servidor são basicamente classificadas como públicas, internas ou seguras. Naturalmente, o tráfego entre essas zonas é muito restrito. Os clientes e servidores nas zonas internas e seguras são membros do mesmo domínio e existem DCs e DNS co-hospedados localizados em cada uma dessas zonas para lidar com o tráfego de zona local. Todos os DCs e servidores DNS no mesmo domínio se sincronizam uns com os outros.
O problema que estamos vendo é que quando um cliente ou servidor usando o DNS da zona interna para resolver o domínio (ex: ad.company.com) também resolvemos os DCs na zona segura e vice-versa, a zona segura fica os DCs internos, bem como a zona local.
Existe uma maneira de o MS DNS responder a solicitações da zona segura apenas com os endereços dessa zona e similares para a zona interna? Eu estou imaginando uma espécie de ip-filter ou um conjunto de regras que pode definir que as solicitações do ex 192.168.10.0/24 ficam 192.168.10.10 e que 192.168.20.0/24 ficam 192.168.20.10 como a resposta resolvida.
A divisão do domínio para permitir que tenhamos nomes de domínio separados não é uma opção. Nossos sistemas também são muito complexos, por isso não temos um entendimento completo de quais sistemas exigem respostas autorizadas do DNS, portanto, não podemos configurar um servidor DNS desconectado que seja encaminhado para o domínio.
Alguém pode me dar algumas dicas sobre como resolver esse problema ou resolvê-lo de uma maneira boa?
Obrigado!
EDITAR:
O problema não está nos serviços baseados em Windows, mas em aplicativos de terceiros, como servidores radius, aplicativos e sites que realizam pesquisas e autenticações LDAP etc.
Como os seus DCs são todos membros do mesmo domínio, fazer uma pesquisa de host no domínio arredondará qualquer um dos registros, estejam eles na zona protegida ou local. No entanto, se você criou sites separados e associou as sub-redes corretas no MMC de Sites e Sub-redes do AD, os clientes deverão usar os DCs em suas respectivas zonas / sites.
Você está vendo um problema de autenticação real?