|
现在许多的网络,工作站采用Windows XP或Windows 7操作系统,服务器采用Windows Server 2003或Windows Server 2008。当升级到Active Directory网络后,网络中工作站的DNS会采用Active Directory服务器的DNS,这是一个约定俗成的“惯例”。许多的网络规划师、系统集成商,在设计Active Directory网络时,也都是这样规划并这样应用的,那么,在Active Directory网络中,只能用Active Directory集成的DNS服务器作为网络中的DNS服务器吗?
如果网络只是一个“局域”网络,采用Active Directory的DNS服务器作为域名解析是没有任何问题的,当然,即使网络中的工作站,还要访问Internet网络,仍然可以用Active Directory的DNS服务器解析Internet的域名(可以采用DNS转发器或直接用根域名解析)。但是,我认为,这并不是一个好的规划。原因如下:
现在客户端解析的域名,大多是Internet上的域名,但这些域名无一例外都要依靠Active Directory的DNS服务器解析,而Active Directory服务器也要再次访问Internet才能解析到所需要的信息。这无疑加重了Active Directory服务器的负担。另外,在有的时候,允许Active Directory访问Internet可能会带来安全问题。
那么,怎么解决这个问题呢?如果你的网络是采用ISA Server或TMG 2010,或Windows Server中的“RRAS”中的NAT做共享上网的代理服务器,则可以妙用Windows Server 2003及其之后的DNS服务器的“条件转发器”功能,解决这个问题。为了深入说明,请看图1所示的网络拓扑。
 图1 企业网络拓扑
在图1的网络拓扑中,Active Directory服务器的IP地址是172.30.5.15,这个服务器同时也安装了DNS服务器,工作站原来设置的DNS地址即是172.30.5.15,Active Directory的域名是“heinfo.local”。整个网络通过TMG2010(或ISA Server)、内网IP地址为172.30.5.253的计算机访问Internet。
在本规划中,通过在TMG2010的服务器安装DNS服务器,并启用“条件转发器”,将所有对Active Directory的域名heinfo.local的访问转发给172.30.5.15的方法,来解决解析Internet域名与Active Directory域名的问题。主要步骤如下:
(1)在TMG 2010的服务器中,安装DNS服务器,并且在“条件转发器”中,新建条件转发器,指定DNS域为heinfo.local,并在“主服务器的IP地址”栏中,添加DNS服务器的地址,如图2所示。如果网络中有多个Active Directory服务器,需要键入每一个Active Directory的DNS服务器的地址。
 图2 新建条件转发器
(2)打开TMG2010,创建一条策略,允许“本地主机”以“DNS”协议访问“外部”,这样可以做到让本地的DNS服务器,访问根DNS服务器或其他(由DNS服务器转发器所指定的)DNS服务器;然后再创建一条策略,允许“内部”以“DNS协议”的方式访问“本地主机”;再次创建一条策略,允许“本地主机”以“DNS协议”访问“172.30.5.15”的Active Directory服务器。当然,上述三条策略只是允许内网中的工作站能通过TMG2010的DNS服务器解析到正确的地址,你也可以根据需要,合并这些策略。如图3所示,这是实际工作中某TMG2010服务器的策略,该策略也包括了述所需要的策略。
 图3 TMG2010策略
在图3中,允许“本地主机”以“任何协议”访问“任何地址”,这允许TMG2010这台服务器以DNS协议访问Internet以及“172.30.5.15”的Active Directory服务器;允许从“任何地址”使用“PING”与“DNS”协议访问“本地主机”,这包括了“内网”用户以DNS协议访问本地主机。
(3)然后指定网络中的工作站的DNS地址使用172.30.5.253即可。以后,当网络中的工作站,解析的域名是互联网域名时,将由TMG2010解析;当网络中的工作站,解析的是Active Directory的域名时,将由TMG2010转发给Active Directory服务器解析。 本文出自 “王春海的博客” 博客,请务必保留此出处http://wangchunhai.blog.51cto.com/225186/332581 |
|
|
