我有一個多林環境,兩個森林都存在於同一網路中。我希望它們之間的 DNS 能夠盡可能順利地運作。正向查找很簡單,可以使用條件轉發器來處理,但是反向查找區域呢?這種類型的設定有模式嗎?如果我只是為每個森林設置獨立的查找區域並且只包含重複項,那麼我讀過的所有內容都說永遠不要這樣做。
答案1
公司獨有的私有 IP 空間的反向 DNS 應該位於所有面向內部的生產 DNS 伺服器同樣可存取的 DNS 伺服器上,以最大限度地提高唯一所有權。鑑於應為您的 AD 基礎設施制定安全策略,如果沒有充分的規劃和複製,這個中央機構不太可能是您的 AD 伺服器。
這並不是說您的 AD 伺服器不應該具有反向權限。只需將其限制為實際需要的內容(很少,就像喬在評論中所說的那樣),並使用轉發器來完成其餘的工作,以確保反向記錄的自動創建不會失控。
(免責聲明:我很清楚,這些都是理想主義的建議,常常被多數大公司忽略。這些公司還必須根據所使用的 DNS 伺服器來處理傳回的不同 PTR 記錄,而在 IP 回收後,這些 PTR 記錄中很少有被正確清理的。簡而言之,這是一座瘋人院,而且永遠都是,除非你打算以其他方式建造它。