|
現(xiàn)在許多的網(wǎng)絡(luò),工作站采用Windows XP或Windows 7操作系統(tǒng),,服務(wù)器采用Windows Server 2003或Windows Server 2008,。當(dāng)升級(jí)到Active Directory網(wǎng)絡(luò)后,網(wǎng)絡(luò)中工作站的DNS會(huì)采用Active Directory服務(wù)器的DNS,,這是一個(gè)約定俗成的“慣例”。許多的網(wǎng)絡(luò)規(guī)劃師,、系統(tǒng)集成商,,在設(shè)計(jì)Active Directory網(wǎng)絡(luò)時(shí),也都是這樣規(guī)劃并這樣應(yīng)用的,,那么,,在Active Directory網(wǎng)絡(luò)中,只能用Active Directory集成的DNS服務(wù)器作為網(wǎng)絡(luò)中的DNS服務(wù)器嗎,?
如果網(wǎng)絡(luò)只是一個(gè)“局域”網(wǎng)絡(luò),,采用Active Directory的DNS服務(wù)器作為域名解析是沒有任何問題的,當(dāng)然,,即使網(wǎng)絡(luò)中的工作站,,還要訪問Internet網(wǎng)絡(luò),仍然可以用Active Directory的DNS服務(wù)器解析Internet的域名(可以采用DNS轉(zhuǎn)發(fā)器或直接用根域名解析),。但是,,我認(rèn)為,這并不是一個(gè)好的規(guī)劃,。原因如下:
現(xiàn)在客戶端解析的域名,,大多是Internet上的域名,但這些域名無一例外都要依靠Active Directory的DNS服務(wù)器解析,,而Active Directory服務(wù)器也要再次訪問Internet才能解析到所需要的信息,。這無疑加重了Active Directory服務(wù)器的負(fù)擔(dān)。另外,,在有的時(shí)候,,允許Active Directory訪問Internet可能會(huì)帶來安全問題。
那么,,怎么解決這個(gè)問題呢,?如果你的網(wǎng)絡(luò)是采用ISA Server或TMG 2010,或Windows Server中的“RRAS”中的NAT做共享上網(wǎng)的代理服務(wù)器,,則可以妙用Windows Server 2003及其之后的DNS服務(wù)器的“條件轉(zhuǎn)發(fā)器”功能,,解決這個(gè)問題,。為了深入說明,請看圖1所示的網(wǎng)絡(luò)拓?fù)洹?/div>
 圖1 企業(yè)網(wǎng)絡(luò)拓?fù)?/div>
在圖1的網(wǎng)絡(luò)拓?fù)渲?,Active Directory服務(wù)器的IP地址是172.30.5.15,,這個(gè)服務(wù)器同時(shí)也安裝了DNS服務(wù)器,工作站原來設(shè)置的DNS地址即是172.30.5.15,,Active Directory的域名是“heinfo.local”,。整個(gè)網(wǎng)絡(luò)通過TMG2010(或ISA Server)、內(nèi)網(wǎng)IP地址為172.30.5.253的計(jì)算機(jī)訪問Internet,。
在本規(guī)劃中,,通過在TMG2010的服務(wù)器安裝DNS服務(wù)器,并啟用“條件轉(zhuǎn)發(fā)器”,,將所有對Active Directory的域名heinfo.local的訪問轉(zhuǎn)發(fā)給172.30.5.15的方法,,來解決解析Internet域名與Active Directory域名的問題。主要步驟如下:
(1)在TMG 2010的服務(wù)器中,,安裝DNS服務(wù)器,,并且在“條件轉(zhuǎn)發(fā)器”中,新建條件轉(zhuǎn)發(fā)器,,指定DNS域?yàn)閔einfo.local,,并在“主服務(wù)器的IP地址”欄中,添加DNS服務(wù)器的地址,,如圖2所示,。如果網(wǎng)絡(luò)中有多個(gè)Active Directory服務(wù)器,需要鍵入每一個(gè)Active Directory的DNS服務(wù)器的地址,。
 圖2 新建條件轉(zhuǎn)發(fā)器
(2)打開TMG2010,,創(chuàng)建一條策略,允許“本地主機(jī)”以“DNS”協(xié)議訪問“外部”,,這樣可以做到讓本地的DNS服務(wù)器,,訪問根DNS服務(wù)器或其他(由DNS服務(wù)器轉(zhuǎn)發(fā)器所指定的)DNS服務(wù)器;然后再創(chuàng)建一條策略,,允許“內(nèi)部”以“DNS協(xié)議”的方式訪問“本地主機(jī)”,;再次創(chuàng)建一條策略,允許“本地主機(jī)”以“DNS協(xié)議”訪問“172.30.5.15”的Active Directory服務(wù)器,。當(dāng)然,,上述三條策略只是允許內(nèi)網(wǎng)中的工作站能通過TMG2010的DNS服務(wù)器解析到正確的地址,你也可以根據(jù)需要,,合并這些策略,。如圖3所示,這是實(shí)際工作中某TMG2010服務(wù)器的策略,該策略也包括了述所需要的策略,。
 圖3 TMG2010策略
在圖3中,,允許“本地主機(jī)”以“任何協(xié)議”訪問“任何地址”,這允許TMG2010這臺(tái)服務(wù)器以DNS協(xié)議訪問Internet以及“172.30.5.15”的Active Directory服務(wù)器,;允許從“任何地址”使用“PING”與“DNS”協(xié)議訪問“本地主機(jī)”,,這包括了“內(nèi)網(wǎng)”用戶以DNS協(xié)議訪問本地主機(jī)。
(3)然后指定網(wǎng)絡(luò)中的工作站的DNS地址使用172.30.5.253即可,。以后,,當(dāng)網(wǎng)絡(luò)中的工作站,解析的域名是互聯(lián)網(wǎng)域名時(shí),,將由TMG2010解析,;當(dāng)網(wǎng)絡(luò)中的工作站,解析的是Active Directory的域名時(shí),,將由TMG2010轉(zhuǎn)發(fā)給Active Directory服務(wù)器解析,。 本文出自 “王春海的博客” 博客,請務(wù)必保留此出處http://wangchunhai.blog.51cto.com/225186/332581 |
|
|
