Tengo un entorno multibosque, ambos bosques existen en la misma red. Quiero que el DNS entre ellos funcione lo mejor posible. Las búsquedas directas son fáciles y pueden manejarse con reenviadores condicionales, pero ¿qué pasa con las zonas de búsqueda inversa? ¿Existe un patrón para este tipo de configuración? ¿Debería tener zonas de búsqueda independientes para cada bosque y tener duplicados? Todo lo que he leído dice que nunca debo hacer eso.
Respuesta1
El DNS inverso para el espacio IP privado que es exclusivo de la empresa debe residir en servidores DNS a los que también puedan acceder todos los servidores DNS de producción internos, para maximizar la propiedad única. Dadas las políticas de seguridad que deben implementarse para su infraestructura AD, es poco probable que esta autoridad central sean sus servidores AD sin una planificación y replicación adecuadas.
Esto no quiere decir que sus servidores AD no deban tener autoridad inversa. Simplemente limítelo a lo que realmente es necesario (muy poco lo es, como dijo Joe en los comentarios) y use reenviadores para el resto para garantizar que la creación automática de registros inversos no se salga de control.
(Descargo de responsabilidad:Soy muy consciente de que se trata de recomendaciones idealistas que la mayoría de las grandes empresas suelen ignorar. Esas empresas también tienen que lidiar con la devolución de diferentes registros PTR según los servidores DNS que se utilicen, y muy pocos de esos registros PTR se limpian adecuadamente después de recuperar las IP. En resumen, es un manicomio y siempre lo será a menos que planees hacerlo de otra manera).