我有一个电子邮件服务器（邮件），目前托管一个域 example1.com。服务器在 NAT 后面，我在 LAN 上配置了 split-dns。

是时候在同一电子邮件服务器上托管其他域了，经过数小时的谷歌搜索，我阅读了有关如何创建公共（外部）和内部 DNS 记录的相互矛盾的信息。似乎有两种方法可以配置 MX 和 A 记录，我将在下面演示。

方法一

example1.com 的外部 DNS

example1.com      7200 MX 10 mail.example1.com.
mail.example1.com 3600 A  213.xx.xx.xx

example2.com 的外部 DNS

example2.com      7200 MX 10 mail.example1.com.
mail.example1.com 3600 A  213.xx.xx.xx

在第一种方法中，example2.com 的 MX 记录指向第一个域，例如 example1.com。

这似乎是 Google Apps 和 ISP 等电子邮件托管公司的工作方式。

对于我的情况，这种方法的问题是我不希望来自 example2.com 的电子邮件表明它们来自 example1.com。对此的“解决方案”是我购买第三个域，比如说 mail.myemailserver.com，它将用作电子邮件服务器的默认（或第一个）域。

方法 2

example1.com 的外部 DNS

example1.com      7200 MX 10 mail.example1.com.
mail.example1.com 3600 A  213.xx.xx.xx

example2.com 的外部 DNS

example2.com      7200 MX 10 mail.example2.com.
mail.example2.com 3600 A …

是否可以将 DNSMasq 配置为仅针对针对该确切域的请求而不针对其子域返回固定 IP 地址？也就是说，我希望它解决时返回一个固定的IP example.com，但不a.example.com，b.example.com等等

我一直在使用 unbound 作为本地递归 DNS 服务器。刚刚添加了 nsd 来设置本地 LAN DNS。nsd 正在侦听端口 53530 并且工作正常：

$ dig @127.0.0.1 data2.datanet.home -p 53530

; <<>> DiG 9.9.2-P2 <<>> @127.0.0.1 data2.datanet.home -p 53530
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59577
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;data2.datanet.home. …

我正在尝试确定是否可以在同一个网络上运行两个 Active Directory 域控制器，在同一个子网中，有两个单独的域。我不希望这两个域控制器以任何方式链接（帐户等），除非通过我连接它们的交换机。

我目前关注的是 DNS —— 就我而言，这是主要问题。由于我有一个单独的 DHCP 服务器来处理整个网络，我希望将一组 DNS 服务器 IP 地址分发给所有客户端。但是，DomainA 的 DNS 服务器将无法回答对 DomainB 的查询，依此类推。

我想这可以通过转发器解决——IE，我可以在我的 DHCP 配置中设置两个 DNS 服务器的 IP 地址，然后告诉 DomainA 将 *.DomainB 的请求转发到 DomainB 的 DNS，反之亦然。我还可以使用单个聚合将请求正确转发到各个服务器。

但是，我不知道这是否可行，或者是否有更好的选择。如果这是一个商业网络，我会继续设置 VLAN、多个 DHCP 服务器等。但是，我正在寻找简单性（尽可能简单地使用您家中的域控制器......）

在同一网络上运行两个域控制器的原因是什么？我在家里运行了一个实验室，现在我已经说服和我住在一起的人运行他们自己的域控制器。但是，出于安全原因，我想将所有内容隔离开来。

任何帮助表示赞赏。

我有两个 Windows 域控制器。

10.10.10.10 主要 (win 2008 r2)
10.10.10.20 副本 (win 2012 r2)

第二个配置为第一个的副本。

大约每周一次，主 DC 会对大多数 .io域进行负面缓存。这使得公司中的任何人都无法访问以下网站：

厨师
.io
packer.io
雅虎.io github.io

奇怪的是，我仍然可以访问一些 .io 页面，例如 github.io 上的页面

spuder.github.io/

解决方法是将 RDP 插入 DNS 服务器并运行dnscmd /clearcache。这可以解决问题 7 到 10 天。

进一步的症状

• 仅影响主域控制器（辅助域控制器和其他域控制器可以很好地解析这些站点）
• 谷歌 dns 服务器也可以工作
• 通常发生在周三上午 11 点左右。

我对windows不是很熟悉，但这里有我尝试过的东西

• 查看日志，我只看到以下几行看起来很有趣

8:15AM
The DNS server wrote version 4638 of zone 254.10.in-addr.arpa to file 254.10.in-addr.arpa.dns..in-addr.arpa to file 254.10.in-addr.arpa.dns.

8:16AM
A more recent version, version 4639 of zone 254.10.in-addr.arpa …

我们有一个网站website.test.company.com，在内部 DNS（服务器 2012 r2）中有 10.0.0.21，这是我们内部的服务器地址。但是，当我们输入www.website.test.company.com它时，它会解析website.com并显示实时页面而不是我们的测试服务器？我想不出为什么这会是任何人都可以指出我的方向，在我看来，http 路径甚至不应该超出网关？

我管理着一个小办公室（<50 人）。我们的办公室一直都有内部 DNS 服务器。DNS 服务器非常简单，但我们过去曾遇到过使用它们的麻烦。我们有一些办公资源只有在办公室才有，或者通过VPN对外提供，我们也有一些办公资源有公网地址和记录。这些资源目前具有相同的 DNS 名称，尽管这不一定是必需的，而且它们的数量比过去少得多。

我们还拥有内部办公室命名空间，因此可以想象，我可以使用我们拥有的内部办公室资源的所有私有 IP 地址填充我的公共 DNS，然后完全停止使用内部 DNS。

这是一个好主意吗？我从来没有在没有内部办公室 DNS 的地方工作过。我们仍然应该保留它的一些原因是什么？它曾经很重要，现在仍然很方便，但是我们遇到的问题并没有让它感觉方便。

当前保留的原因：

• 拆分 DNS 允许我们为内部托管但外部可用的资源使用相同的主机名
• 我们有一些我们不需要购买的测试域，但如果我们摆脱它们，则需要购买
• ？？？它是熟悉的和令人欣慰的？

摆脱它的原因：

• 目前不支持 IPv6
• DNS 拆分有几个问题，主要是 VPN 配置
• 可能不必要的服务器维护

在 Windows 上启用不安全的 DNS 更新有哪些实际风险？

据我所知，启用不安全的 DNS 更新是启用 DHCP Linux 客户端向 FQDN 注册其名称的要求。

我确实想知道这涉及到实际风险，以便评估是否可以启用这些功能。

据我所知，一台机器将无法接管另一个保留名称，这将是我现在唯一真正关心的问题。

显然这将是 DDOS，但考虑到我们在这里谈论的是内联网，我怀疑这可能是一个真正的风险。

您是否在您的域上启用了它？您是否曾经因为遇到一些问题而不得不禁用它？

我有一个包含一系列公共子域的 TLD，例如*.example.com. 我还有一个用作 SVN 存储库的专用服务器，我希望可以在svn.example.com，但只能在专用网络上使用。目前我已经通过创建区域文件svn.example.com.zone并使用此声明来实现这一点：

zone "svn.example.com" IN {
    type master;
    file "/etc/named/svn.example.com.zone";
};

在区域文件中：

@                IN  NS  svn.example.com.
svn.example.com. IN  A   10.200.1.1

所有其他域都转发到公共名称服务器。这有效，但并不理想，因为如果我想添加新的私有子域，它需要创建一个全新的区域。如果我将此区域作为整个example.comTLD的主记录，那么我假设对当前公共的请求*.example.com将不再适用于使用私有 DNS 的客户端（除非它们在私有 DNS 的区域文件中重复）。

有没有办法为我提供指定一个或多个私有子域的区域文件，但仍将无法解析的请求转发到公共名称服务器？我尝试使用forward区域类型，但后来我无法指定我自己的区域文件，它只能转发。

更新

火箭科学家的 DNS 第 6 章给出了一个内部网络上隐身 DNS 服务器的DNS 配置示例。这似乎与我想要实现的目标相匹配，特别是建议在私有 DNS 区域中复制公共 DNS 记录。显然，虽然我想解决的问题是记录的重复，所以这更像是一种解决方法。

这里的开发人员...我想了解您对这个问题的 IT 观点...

我正在为我的公司构建一个新的内部 Web 应用程序，并开始考虑如何部署它。此处的许多现有 Web 应用程序都直接使用它们的服务器名称进行链接，如下所示：

http://webserver123/someInternalApp/

由于各种原因，这让我感到不舒服。服务器名称更改，服务器停机，用户不必知道服务器名称即可找到他们的 Web 应用程序。使用服务器名称可以防止我们交换服务器或添加负载平衡器。如果你能想到其他不好的原因，请告诉我，以便我可以更好地改变这种做法。

展望未来，我希望在我们的内部 DNS 中设置一些更好的域名，这些域名将指向适当的 Web 服务器和应用程序。在我的上一份工作中，我们遵循了这样的约定：

• 对于生产： http://someInternalApp.myCompany.com/
• 测试： http://test.someInternalApp.myCompany.com/
• 开发： http://dev.someInternalApp.myCompany.com/

我喜欢这个更好的，因为应用程序的名称是域名的一个重要组成部分，与开发/测试/生产环境的指定很简单。但是，我有一些保留意见：

• 将应用程序名称放在子域中最终会创建许多长而独特的子域。我喜欢为每个应用程序设置不同的域，但我也觉得这会变得难以管理。
• 除了应用程序名称之外，没有什么可以指定此 URL 仅供内部使用。我读过其他组织使用“corp.myCompany.com”或“int.myCompany.com”之类的子域，这可能很好。我不希望用户得到他们可以在家访问这些的印象。

以下是我倾向于使用内部域名的一些选项：

内部子域中的应用程序名称：（它们有点长，但我认为一切都很好地打包在一起）

• http://someInternalApp.corp.myCompany.com/
• http://dev.someInternalApp.corp.myCompany.com/

应用程序名称作为子目录：（较短的域名，但它意味着所有应用程序都是一个统一站点的一部分，它们可能不是，并且它断开了应用程序的环境指定）

• http://corp.myCompany.com/someInternalApp
• http://dev.corp.myCompany.com/someInternalApp

那么，让我们讨论一下……您对这些选项有何看法？有没有更好或更常见的东西我可能错过了？我有机会让我的公司在这方面走上更好的道路，所以我想找到一个好的约定来推荐。

谢谢！