4 つのネーム サーバー (ファイアウォールの背後に 2 つ、パブリック ネットワーク上に 2 つ) を持つドメインがあります。2 つのサーバーをファイアウォールの背後に配置する必要がありました。ファイアウォールの例外を実装する前に、新しい機器をオンラインにする必要がある場合があるため、新しい機器をオンラインにするときに問題が発生します。
LDAP 認証を使用するデバイスを example.com を指すように構成すると、ファイアウォールの内側のネームサーバーが選択される場合もあれば、外側のネームサーバーが選択される場合もあります。内側のネームサーバーが選択される場合、認証は失敗し、ハードリセットするまでデバイスは実質的に使用できなくなります。
「ping domain.com」などのリクエストに応答するサーバーを設定する方法はありますか?
あると思いますが、何をすればいいのかわかりません。 ご協力いただければ幸いです。
編集: 明確にするために、これがベスト プラクティスではないことは承知していますが、それは私の管理外です。私の目標は、LDAP サーバーとして「domain.com」を使用することです。これにより、デバイスは認証のために複数の AD サーバーのいずれかに誘導されます。カンマなどで区切られた値を入力することはできません。これにより、デバイス自体が複数のサーバーを指すようになります。これまでのところ、制限することは不可能のようですが、さらに説明しようと思いました。
答え1
ドメイン名は、外部の公開ネームサーバーにのみ登録します。これについては議論の余地はありません。
ドメインのトップ ( 全体) に対して内部ネットワーク内に権威ネーム サーバーを配置する理由1があるかもしれませんexample.comが、パブリック DNS にリストされるべきではありません。既に経験されているように、これは問題を生じさせます。
内部システムでは、内部リゾルバを使用する必要があります (ISP のリゾルバや 8.8.8.8 や 8.8.4.4 などのパブリック サービスではありません)。その内部リゾルバは、ゾーンの内部バージョンの権威あるネーム サーバー (を指す) です example.com。
結果: 内部システムは内部 IP アドレスを表示できますが、外部システムはパブリック IP アドレスのみを表示できます。
脚注1 いいえ、ありません. これは、後で痛い目に遭う厄介な方法です。内部使用のためにサブドメインを構成し、intranet.example.com内部でのみ見つけられるようにしたり、内部リソースを使用するように内部システムを明示的に構成したりします。