Ich habe eine Umgebung mit mehreren Gesamtstrukturen, beide Gesamtstrukturen befinden sich im selben Netzwerk. Ich möchte, dass DNS zwischen ihnen so reibungslos wie möglich funktioniert. Forward-Lookups sind einfach und können mit bedingten Forwardern gehandhabt werden, aber was ist mit Reverse-Lookup-Zonen? Gibt es ein Muster für diese Art von Setup? Sollte ich einfach unabhängige Lookup-Zonen für jede Gesamtstruktur haben und nur Duplikate verwenden? Alles, was ich gelesen habe, sagt, dass man das niemals tun soll.
Antwort1
Reverse DNS für privaten IP-Bereich, der für das Unternehmen einzigartig ist, sollte auf DNS-Servern laufen, die auch von allen intern ausgerichteten Produktions-DNS-Servern erreichbar sind, um die einzigartige Eigentümerschaft zu maximieren. Angesichts der Sicherheitsrichtlinien, die für Ihre AD-Infrastruktur gelten sollten, ist es unwahrscheinlich, dass diese zentrale Autorität Ihre AD-Server sind, ohne entsprechende Planung und Replikation.
Das heißt nicht, dass Ihre AD-Server keine Reverse-Autorität haben sollten. Beschränken Sie es einfach auf das, was tatsächlich notwendig ist (sehr wenig ist nötig, wie Joe in den Kommentaren sagte) und verwenden Sie für den Rest Forwarder, um sicherzustellen, dass die automatische Erstellung von Reverse-Datensätzen nicht außer Kontrolle gerät.
(Haftungsausschluss:Mir ist durchaus bewusst, dass dies idealistische Empfehlungen sind, die von den meisten großen Unternehmen häufig ignoriert werden. Diese Unternehmen müssen sich außerdem damit auseinandersetzen, dass je nach verwendeten DNS-Servern unterschiedliche PTR-Einträge zurückgegeben werden, wobei nur sehr wenige dieser PTR-Einträge nach der Rückforderung von IPs jemals richtig bereinigt werden. Kurz gesagt, es ist ein Irrenhaus und wird es immer bleiben, sofern Sie nicht vorhaben, es anders zu machen.)