Как заставить AD DNS опрашивать внешние NS-сервера?

Question

[Andrey Tatarnikov]

Есть MS AD-сервер с DNS внутри сети. На AD DNS существует зона domain1.ru.
Но на самом деле этот домен обслуживаются внешними NS-серверами хостера.
Это надо для того, чтобы, например, support.domain1.ru внутри сети резолвился во внутрненний айпишник (10.x.x.x), а вне сети - во внешний айпишник офиса.

Как-то можно заставить AD DNS в таком случае делать следующее:
Если клиент запрашивает у AD DNS адрес хоста somehost.domain1.ru, но в AD DNS такого хоста нет - AD DNS пусть запросит NS'ы хостера на предмет наличия хоста там.

На AXFR-запросы хостер не отвечает, трансфернуть зону с его NS'ов на AD DNS нельзя.

Answer 1

[Андрей Ермаченок]

DNS -> Сервер пересылки
Не?

Comments

[Andrey Tatarnikov]

Что есть "сервер пересылки"? Если можно в терминах MS DNS, я в нем не очень силен.

[Андрей Ермаченок]

crackpot: Сервер, на котором DC и DNS: Пуск - Администрирование - DNS - Правой мышкой по имени сервера - Свойства - закладва "Сервер пересылки" - Изменить - И добавить внешний сервер DNS. Например, 8.8.8.8

Answer 2

[Константин]

как и говорил Андрей Ермаченок
используйте сервер пересылки. эти те адреса dns-серверов, к которым будет обращаться ваш при ненахождении у себя требуемых записей.
большинство мелких офисов ведь так и работают всегда. у меня в офисе стоит dns, который обслуживает только внутреннюю зону и mx-запись (которая само собой видна из инета), а все остальное он отправляет "умным парням" (хоть 8.8.8.8, как банальный пример) и кэширует у себя

Comments

[Andrey Tatarnikov]

Константин Андрей Ермаченок либо я дурак, либо лыжи не едут.
Добавил в форвардеры NS гугла, и NS'ы хостеров (обоих на всякий случай).
Но это не спасло, делаю запрос на самом DC/DNS:

C:\Users\a.tatarnikov>nslookup gate.domain1.ru.
Server: localhost
Address: 127.0.0.1

*** localhost can't find gate.domain1.ru.: Non-existent domain

[Andrey Tatarnikov]

Вот тут нашлось такое: https://technet.microsoft.com/ru-ru/library/cc7549...
"DNS-сервер не может пересылать запросы имен домена, находящихся в содержащейся на нем зоне. Например, полномочный DNS-сервер для зоны widgets.tailspintoys.com не может пересылать запросы, содержащие имя домена widgets.tailspintoys.com. DNS-сервер, который является полномочным для widgets.tailspintoys.com, может пересылать запросы DNS-имен, которые заканчиваются на hr.widgets.tailspintoys.com, если DNS-имя hr.widgets.tailspintoys.com было делегировано другому DNS-серверу."
То есть если на моем dns внутри сети для domain1.ru в качестве Primary server (SOA) указан DC - он не станет никуда форвардить запросы. Так?

Answer 3

[Анатолий Ивашина]

Как и говорили господа Андрей Ермаченок и Константин, используйте сервера пересылки.