在AD环境下,如果内部采用的域名与外部域名一致,会出现无法正常访问外部域名的情况——因为域内部的DNS无法正确解析外部域名。这时需要对外部域名做分裂处理。
这里以www域名为例,www.yourdomain.com 的web服务由外部服务器提供。此时域内部的成员如果要访问www服务。
- 最简单的方法就是在内部DNS里添加一条www的A记录:
在DNS管理器中找到域名,右键 -> 新建主机(A 或AAAA) -> 填写名称及ip地址 -> 添加主机
添加www主机A记录
- 上述方法虽然简单,但是会有一个问题,就是每次外网域名修改了DNS解析,都要到内部DNS上做相应的修改。因此,建议采用“委派”的方式,相比于A记录直接提供服务器IP,委派会回到域名的SOA(起始授权机构)DNS服务器获取当前域名的解析,可以通过nslookup查询域名的SOA服务器。
nslookup查询SOA
创建委派的方式也很简单,在域名上右键-> 新建委派 -> 下一步 -> 填入委派的域(www) -> 添加名称服务器 -> 解析 -> 确定 -> 完成,可以添加多个名称服务器,创建完后如下图:
新建委派
- 由于政策的问题,有时会要求要能通过一级域名访问外部web服务。即通过http://yourdomian.com/ 或 http://www.yourdomain.com/ 访问。这时就有点坑了,在AD环境中,yourdomain.com 记录被称为"
LdapIpAddress",域中的每个DC都会相应注册一个记录到内部DNS中,用于DC之间的复制、DFS、GPOs等等。在域环境里,这个记录不能修改,除非你想自找麻烦。像下图所示的,该域环境中有两台DC:192.168.1.10,192.168.1.20 。
ADDNS04.png
那么如何解决这个问题呢?在网上找到一种折衷的方法:在DC服务器上安装IIS服务,配置默认站点属性,重定向到 http://www.yourdomian.com 。注意必须在所有的DC上配置。
