none
Одноименные внешняя и внутренняя DNS-зоны. RRS feed

  • Вопрос

  • Коллеги,
    помогите с таким вопросом.

    Существующая топология филиала включает наличие автономного AD & DNS сервера.
    В головном офисе расположен DNS (BIND ) server, на котором прописано делегирование зоны третьего уровня этого для этого филиала.

    Сервер (назовем его SRV1), который держит эту зону в филиале ничего кроме DNS не содержит и есть желание от него отказаться. При этом все 10 записи его primary zone (MX, NS, A) могут быть без проблем перенесены на основной филиальный DNS сервер (назовем его SRV2), где расположена AD-integrated dns zone с множеством других записей.

    ФИшка в том, что наименования внутрифилиального AD домена, AD_integrated DNS зоны совпадает с именем домена третьего уровня в головном офисе, которое делегировано в филиал.

    По идее данные DNS с сервер SRV1 можно перенести на SRV2, выключить.
    На SRV2 добавить нужные 10 записей.
    На головновном DNS подправить IP адрес на SRV2.

    Но возникает вопрос!

    Головной сервер будет разрешать  имена во внутрифилиальные IP-адреса, что крайне нежелательно. А так же передача зоны будет включать все данные внутрифилиального AD. Что так же накладно.

    Подскажите пожалуйста - возможно ли как-то преодолеть эти проблемы, ограничив возможности в разрешении имен со стороны головного офиса и сузить репликацию зоны только нужными 10-ю записями?

    Я интересовалась у юниксоидов. Они говорят что BIND позволяет настраивать так называемые Internal & external views.
    Есть ли аналог такого в Windows?

    Заранее благодарна за ответы!

    18 января 2010 г. 11:22

Ответы

  • В вашем случае, имхо - от SRV1 отказаться не получится. Насколько я знаю выборочно(только определенные записи) осуществить зонную передачу нельзя.
    По поводу возвращения разных IP для интранета и филиальной сети - можно попробовать продублировать A-записи с IP интранета и IP филиала, затем отключить на SRV2 round robin и включить расстановку по адресу
    • Помечено в качестве ответа Astahova 19 января 2010 г. 9:18
    19 января 2010 г. 6:00
    Отвечающий

Все ответы

  • На линуксе действительно возможно разграничить представление в зависимости от IP-адреса клиента. 
    Думаю, что в Вашем случае можно перенести эту зону в головной офис или продолжать использовать два различных ДНС-сервера (для внешней и внутренней зоны).
    Похожая тема:
    http://social.technet.microsoft.com/Forums/en/winserverDS/thread/d4e0ab58-74c8-4537-b3ac-1577f5c377e2
    Хотя здесь:
    http://technet.microsoft.com/en-us/library/cc755946(WS.10).aspx
    сказано, что возможен (хотяи не рекомендован) и желаемый вариант:
    "You can also use the same name for the internal domain and the external domain. However, this method is not recommended. It creates name resolution problems because it introduces DNS names that are not unique. This method requires additional configuration to enable optimized performance."

    18 января 2010 г. 11:35
    Модератор
  • Да,реаизовать можно различные сценарии (спасибо за ссылки!), в т.ч.  случай одноименных доменов.
    Но вопрос все же более хитрый.
    Возможно ли именно в одной зоне на одном внутреннем филиальном сервере держать записи как для интранета предприятия, так и для внутренней сети филиала.
    Навскидку - можно.
    Но как при этом отдавать наружу только ограниченное кол-во записей A,MX? И соответственно как ограничить репликацию зоны именно этими несколькими записями а не всеми зарегистрированными в зоне?

    18 января 2010 г. 20:50
  • В вашем случае, имхо - от SRV1 отказаться не получится. Насколько я знаю выборочно(только определенные записи) осуществить зонную передачу нельзя.
    По поводу возвращения разных IP для интранета и филиальной сети - можно попробовать продублировать A-записи с IP интранета и IP филиала, затем отключить на SRV2 round robin и включить расстановку по адресу
    • Помечено в качестве ответа Astahova 19 января 2010 г. 9:18
    19 января 2010 г. 6:00
    Отвечающий