Acho que tenho metade da resposta, mas preciso de ajuda com as etapas finais ...
Estou tentando configurar nossos servidores DNS do Windows 2016 para responder como servidores recursivos para clientes em nossas sub-redes internas, mas apenas responder a solicitações de nosso domínio de clientes em sub-redes externas.
Eu tenho isso principalmente trabalhando com o seguinte (números de rede alterados)
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "Internal" -EnableRecursion $true -Forwarder X.X.X.X,Y.Y.Y.Y
Add-DnsServerClientSubnet -Name "10.1" -IPv4Subnet 10.1.0.0/16 -PassThru
Add-DnsServerClientSubnet -Name "172.20" -IPv4Subnet 172.20.0.0/16 -PassThru
Add-DnsServerClientSubnet -Name "172.21" -IPv4Subnet 172.21.0.0/16 –PassThru
Add-DnsServerClientSubnet -Name LoopBackSubnet -IPv4Subnet 127.0.0.0/8 -IPv6Subnet ::1/128
Add-DnsServerQueryResolutionPolicy -Name "Allow10.1" -Action ALLOW - ApplyOnRecursion -RecursionScope "Internal" -ClientSubnet "EQ,10.1" -PassThru
Add-DnsServerQueryResolutionPolicy -Name "Allow172.20" -Action ALLOW -ApplyOnRecursion -RecursionScope "Internal" -ClientSubnet "EQ,172.20" -PassThru
Add-DnsServerQueryResolutionPolicy -Name "Allow172.21" -Action ALLOW -ApplyOnRecursion -RecursionScope "Internal" -ClientSubnet "EQ,172.21" –PassThru
Add-DnsServerQueryResolutionPolicy -Name "AllowLocal" -Action ALLOW -ApplyOnRecursion -RecursionScope "Internal" -ClientSubnet "EQ,LoopBackSubnet" –PassThru
Isso tem o efeito desejado de não executar pesquisas recursivas se o cliente não estiver em uma das sub-redes definidas, no entanto, o servidor ainda responderá a pesquisas recursivas se a resposta estiver no cache.
Eu tentei uma abordagem diferente (primeiro removendo as políticas acima e reativando as pesquisas de reprovações no escopo padrão):
Set-DnsServerRecursionScope -Name . -EnableRecursion $true -Forwarder X.X.X.X,Y.Y.Y.Y
Add-DnsServerQueryResolutionPolicy -Name "DenyRecursion" -Action DENY -ClientSubnet "NE,10.1,172.20,172.21,LoopBackSubnet" -PassThru –FQDN “NE,*.TESTDOMAIN.COM”
Isso não fez o que eu esperava, pois nem as sub-redes internas nem externas são fornecidas com uma resposta recursiva.
Existe uma maneira de desativar o uso do cache com a primeira configuração ou alguém pode apontar o que eu perdi na minha segunda tentativa, então minhas sub-redes internas podem usar o servidor DNS como um servidor 'completo' (recursivo), mas externo? os clientes podem apenas consultar hosts na minha zona (e não ver respostas em cache)?