我有一個包含四個名稱伺服器的網域(兩個位於防火牆後面,兩個位於公共網路上)。我們需要在防火牆後面有兩台伺服器。當新設備上線時,它會造成問題,因為有時需要在實施防火牆例外之前發生。
如果我將使用 LDAP 驗證的裝置配置為指向 example.com,有時它們會選擇防火牆內部的名稱伺服器,有時會選擇外部的名稱伺服器。如果他們拿起裡面的東西,身份驗證就會失敗,基本上會使設備變磚,直到我可以對其進行硬重置。
有沒有辦法設定哪些伺服器回應「ping domain.com」等請求?
我猜是有的,但我不知道該怎麼做。謝謝你的幫忙!
編輯:只是為了澄清,我知道這不是最佳實踐,但這超出了我的控制範圍。我的目標是使用“domain.com”作為我的 LDAP 伺服器,因此設備應定向到多個 AD 伺服器之一進行身份驗證。我無法輸入用逗號等分隔的值以允許它自己指向多個伺服器。到目前為止,聽起來似乎不可能進行限制,但我只是想進一步解釋一下。
答案1
您僅使用外部的、公開可用的名稱伺服器註冊您的網域。沒有關於它的討論。
可能有一個原因1 在您的內部網路中為您的網域頂部(整個example.com)擁有權威名稱伺服器,但它們不應該列在您的公共 DNS 中。正如您已經經歷過的那樣,這會破壞東西。
您的內部系統應該使用內部解析器(而不是 ISP 的解析器或 8.8.8.8 和 8.8.4.4 等公共服務的解析器)。這個內部解析器是(指向)區域內部版本的權威名稱伺服器 example.com。
結果:內部系統可以看到內部 IP 位址,外部系統只能看到您的公用 IP 位址。
註腳1 不,沒有。這是拼湊的東西,它會咬你的屁股。您配置一個子網域供內部使用,例如intranet.example.com只能在內部找到的子網域,並且您明確配置內部系統以使用內部資源。