@Ncla
Всему учусь

Можно ли сделать разные днс записи для разных сайтов AD?

Пара офисов в одном лесу и сервисы опубликованые в интернет. Реализован сплит днс, внутри сети идешь по локальному ip, снаружи по публичному, но днс имя на клиентах, понятно дело, одно. В одном из офисов завелся сервис к которому нужен доступ из другого, через тонели роутить не охото, т.к. сервис с tls, а tls + ipsec будет больно. Вот и нужео чтобы в одном офисе сервис получали по локальным ip, а в другом по публичным, днс имя естественно трогать нельзя. Днс сервера у всех устройств ADDC.
  • Вопрос задан
  • 524 просмотра
Решения вопроса 1
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
# Только на одном контроллере AD/DNS:
# Создаём зоны видимости (Scope)
Add-DnsServerZoneScope -ZoneName "my.local" -Name "Scope149"
Add-DnsServerZoneScope -ZoneName "my.local" -Name "Scope33"

# Создаём DNS-записи для каждой зоны
Add-DnsServerResourceRecord -ZoneName "my.local" -A -Name "proxy" -IPv4Address 10.149.0.200 -ZoneScope "Scope149"
Add-DnsServerResourceRecord -ZoneName "my.local" -A -Name "proxy" -IPv4Address 10.33.0.200 -ZoneScope "Scope33"
Add-DnsServerResourceRecord -ZoneName "my.local" -A -Name "wsus" -IPv4Address 10.149.0.209 -ZoneScope "Scope149"
Add-DnsServerResourceRecord -ZoneName "my.local" -A -Name "wsus" -IPv4Address 10.33.0.201 -ZoneScope "Scope33"

# На каждом контроллере:
# Создаём подсети
Add-DnsServerClientSubnet -Name "Subnet149" -IPv4Subnet 10.149.0.0/16
Add-DnsServerClientSubnet -Name "Subnet33" -IPv4Subnet 10.33.0.0/16
Add-DnsServerClientSubnet -Name "SubnetTotal" -IPv4Subnet 10.0.0.0/8

# Создаём политики применения зон видимости для подсетей
Add-DnsServerQueryResolutionPolicy -Name "Policy149" -Action ALLOW -ClientSubnet "eq,Subnet149" -Condition AND -FQDN "eq,proxy.my.local,wsus.my.local" -ZoneScope "Scope149" -ZoneName "my.local"
Add-DnsServerQueryResolutionPolicy -Name "Policy33" -Action ALLOW -ClientSubnet "eq,Subnet33" -Condition AND -FQDN "eq,proxy.my.local,wsus.my.local" -ZoneScope "Scope33" -ZoneName "my.local"
Add-DnsServerQueryResolutionPolicy -Name "PolicyTotal" -Action ALLOW -ClientSubnet "eq,SubnetTotal" -ZoneScope "my.local" -ZoneName "my.local"

# Включаем политики
Enable-DnsServerPolicy -Level Zone -ZoneName "my.local" -Name "Policy149"
Enable-DnsServerPolicy -Level Zone -ZoneName "my.local" -Name "Policy33"
Enable-DnsServerPolicy -Level Zone -ZoneName "my.local" -Name "PolicyTotal"

# Разрешаем Split-Brain DNS
dnscmd /config /globalqueryblocklist isatap
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
dark_rain
@dark_rain
Admin
1) Сделать для сервиса 2 разных имени с разными ip. Если сам сервис не умеет отвечать на 2 имени, одно из них можно пустить через реверс-прокси.
2) Изучить dns policy, если ось свежая. Кажется, оно может отдавать разные ip в зависимости от адреса днс-клиента.
3) Создать отдельную, не-ad-integrated, не реплицируемую днс-зону (субдомен или другой домен), завести запись для сервиса в ней.
Ответ написан
@iddqda
network engineer, netdevops
Реализован сплит днс, внутри сети идешь по локальному ip, снаружи по публичному

и продолжаем с этого места...
изнутри еще какой то отдельной сети идешь по третьему ip
из другой отдельной сети по четвертому итп
1-й 2-й 3-й 4-й ip поизвольные. могут сопадать. или даже быть не ip (а запись), а srv txt итп
короче, сплит днс - не ограничивается 2-мя зонами.

з.ы.
tls + ipsec будет больно

не будет если tls будет внутри ipsec, а не наоборот.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы