单个AD站点需要AD集成DNS中两个主机的备用DNSlogging

我们有6个不同的AD站点全部通过IPSec隧道进行连接,除了一个办公室外无法连接到我们的数据中心,因为目前无法解决的ISP相关的愚蠢的原因。 我们有AD集成的DNS,并且有两个Web服务器,带有公共IP,在我们的AD站点上复制内部地址,并通过IPSec隧道访问。 由于这两个服务器都在我们的DC中,无法连接到DC的站点无法访问这两个站点。

我们需要复制我们的AD DNS的其余部分到这个站点,所以删除复制不是一个选项。 这些网站也在我们的主域名的DNS,并更新它们使用替代名称,或替代域名后缀不是一个可行的select,因为它会打破这个办公室的链接。

有没有办法让这个网站使用备用的DNSlogging,而不是复制那些AD?

对于GPO中的所有客户端/服务器计算机,将这两个主机的公共IP添加到本地主机文件是我的最佳select吗?

这不需要是一个永久的,优雅的解决scheme,因为我们将很快改变ISP(ish)。 我只是需要一些在中期未来能够稳定可靠的办公室。 简化的网络图

澄清:多伦多和纽约可以和东京,对方和数据中心交谈。 东京可以跟多伦多和纽约,但不是数据中心。 我们在每个站点都有资源,还有AD复制,需要从所有其他站点访问。

其中两个资源位于我们的数据中心,具有公有IP和内部IP,并在内部和外部使用相同的主机名。 该主机名被集成到我们的Active Directory DNS中。 从纽约和多伦多到这些网站的所有访问均通过内部IP地址完成。

我们需要东京通过他们的公共IP访问这两个主机,而不是内部主机。 我们不能使用不同的主机名,因为这些网站被大量集成到我们的其他应用程序,通信等。

如果我正确理解你的问题,你需要在两个不同地点的两台DNS服务器用两个不同的响应来回答相同的查询,每个响应都是针对它的位置的; 此logging位于在两个DNS服务器上复制的AD集成区域中,并且您只想closures此logging的复制,以便您可以从不同的服务器分发不同的答案。

如果是这种情况,您的解决scheme是创build一个子域,而不是一个Alogging,并将其configuration为两个服务器上的主要区域,没有AD集成; 然后在每个区域创build一个指向正确IP地址的未命名logging; 一个未命名的logging将回答对区域名称的请求,因此它将有效地等同于顶层区域中的Alogging。

例:

你的域名是domain.local ; 这是一个AD集成区域。
您站点1中的DC / DNS称为DC1。 您站点2中的DC / DNS称为DC2。 你的logging是server.domain.local ; 如果请求DC1,则需要指向10.20.30.40,但如果请求DC2则需要指向192.168.90.42。

  • 在DC1上为(子)域server.domain.local创build一个标准主区域; 然后在此区域中创build一个指向10.20.30.40的未命名Alogging。
  • 在DC2上为(子)域server.domain.local创build一个标准主区域; 然后在此区域中创build一个指向192.168.90.42的未命名Alogging。

这样,当DC1被请求server.domain.local ,它将以10.20.30.40来回答; 如果对DC2进行相同的查询,它将以192.168.90.42进行回答。

你可以做到以下几点:

  1. 创build一个新的DNS应用程序目录分区 。
  2. 将应用程序分区的复制范围限制为只有那些需要覆盖的DC。
  3. 在新的应用程序分区中创build一个新的向前查找区域。
  4. 在覆盖区域中创build一个空白logging 。

我真的从来没有这样做,但似乎是追求你特别要求的方式。 testing它。

当然,这有点hackey。 你可以张贴图表或类似的东西? 我有一种感觉,有一个更简单的答案。