实现 DNS 转发
当 DNS 服务器未托管包含 DNS 请求中的资源记录的主要或次要区域时,它需要一种机制来查找所需的信息。 默认情况下,每个 DNS 服务器都配置有根目录提示,这些根目录提示可用于通过查找授权的 DNS 服务器来解析 Internet 上的 DNS 请求。 如果 DNS 服务器能够访问 Internet,并且所请求的资源记录在 Internet 上可用,则此过程有效。 有时,两个条件都不能满足。 在这些情况下,可以启用转发。
转发器
可以为每个 DNS 服务器配置一个或多个转发器。 如果 DNS 服务器收到对其未获授权的区域的请求,并且服务器尚未将其缓存,DNS 服务器会将该请求转发到转发器。 DNS 服务器对所有未知区域使用转发器。
转发器通常用于 Internet 名称解析。 内部 DNS 服务器将解析 Internet 名称的 DNS 请求转发给公司网络外部的 DNS 服务器。 组织可以在外围网络中配置外部 DNS 服务器,或者使用 Internet 服务提供商提供的 DNS 服务器。 此配置会限制外部连接并提高安全性。
条件转发
你可以为单个 DNS 域配置条件转发。 这类似于配置转发器,不同之处在于它仅适用于单个 DNS 域。 受信任 AD DS 林和合作伙伴组织经常使用此功能。
创建条件转发器时,可以选择是将其本地存储在单个 DNS 服务器上还是存储在 AD DS 中。 如果将其存储在 AD DS 中,则可以将其复制到域或林中的域控制器上运行的所有 DNS 服务器,具体取决于所选择的选项。 将条件转发器存储在 AD DS 中时,可以更轻松地管理多个 DNS 服务器上的条件转发器。
存根区域
存根区域用于提供名称服务器的列表,这些服务器可用于解析域的信息,而无需在本地同步所有记录。 若要启用此区域,需同步以下内容:
- 名称服务器记录
- 名称服务器的相应主机记录
- SOA 记录
提示
通常,与自治系统(如合作伙伴组织)集成时将使用存根区域。
比较存根区域和条件转发器
若要解析对本地 DNS 服务器未获授权的区域的 DNS 请求,可以使用存根区域,也可以使用条件转发器。 这两者之间的区别在于选择远程服务器进行查询的方式:
- 使用域获得授权的特定远程 DNS 服务器配置条件转发器。
- 存根区域复制并使用在该区域中配置的所有名称服务器记录。
如果授权的 DNS 服务器可能会随着时间的推移而更改,则可能需要使用存根区域,它会自动更新名称服务器记录,并仅对该区域使用有效的名称服务器。 但是,如果防火墙控制通信,则可能无法访问更新后的名称服务器。