1. DNS 命名空间设计原则
- 一致性:所有子公司使用统一的父域名(iehang.cn)
- 可扩展性:预留新业务单元的命名空间
- 简化管理:优先使用子域而非独立根域
- Internet 合规:公网域名与内部域名区分
2. 多域 DNS 架构
PowerShell - 查看 DNS 区域结构
# 查看所有 DNS 区域
Get-DnsServerZone | Select-Object ZoneName, ZoneType, IsAutoCreated
# 查看特定区域的资源记录
Get-DnsServerResourceRecord -ZoneName "iehang.cn" -RRType "A"3. 存根区域配置
存根区域让 DNS 服务器能够解析其他域的记录,而无需完整区域复制。
PowerShell - 创建存根区域
# 在 sz.iehang.cn 域创建指向父域的存根区域
Add-DnsServer StubZone -Name "iehang.cn" -ZoneFileName "iehang.cn.dns" `
-DynamicUpdate "None"
# 配置存根区域的父服务器
Add-DnsServerSecondaryZone -Name "sz.iehang.cn" `
-ZoneFileName "sz.iehang.cn.dns" `
-MasterServers "192.168.10.254"
# 在 DC 上添加条件转发器
Add-DnsServerConditionalForwarder -ZoneName "qd.iehang.cn" `
-MasterServers "192.168.20.254" -Forwarder $true4. 条件转发器配置
💡 条件转发器使用场景
- 内部解析:各子公司的内部域名通过条件转发器解析
- Internet 转发:外部域名统一转发到公共 DNS(8.8.8.8)
- 拆分视图:内部用户解析内部地址,外部用户解析公网地址
5. 常见问题
Q1:各子公司可以使用自己的公网域名吗
可以,但会增加 DNS 解析复杂度。建议内部使用统一域名 iehang.cn,公网根据业务需要再注册独立域名。
Q2:DNS 更新失败如何排查
① 检查区域传输设置 ② 确认存根区域的 master servers 可达 ③ 查看 DNS 服务器事件日志 ④ 使用 nslookup -type=SOA iehang.cn 检查区域授权