背景说明:
1、北京公司与各分子公司通过4M专线互联
2、集团域控及DNS服务部署在北京,分子公司部署了额外域控,同时定期与北京主域控同步
3、集团exchange邮件系统部署在北京,全集团分支结构均通过专线使用该邮件系统,邮件系统可通过互联网访问
需求分析:
1、由于各分子公司与北京之间的专线只有4M带宽,主要用于ERP等核心业务
2、各分子公司终端DNS指向本地的额外域控,该情况会导致终端的邮件流量也会跑到专线上
3、本次变更主要是通过部署智能DNS系统,使分子公司终端能通过当地互联网连接集团邮件系统,同时其它核心业务依然通过专线连接。
实现方法:
在分子公司额外域控上,创建智能DNS解析,我们以香港公司为例。
1、在额外域控上创建DnsServerClientSubnet
这一步的主要目的是告诉DNS Server,我有一段子网,这段子网的DNS请求需要进行转发。
以管理员身份打开powershell并执行命令:
Add-DnsServerClientSubnet -Name “HK”-IPv4Subnet "172.16.5.0/24"
此时,我们就创建好了一个叫“HK”的子网。
2、在DNS区域下创建一个或多个逻辑地理区域
Add-DnsServerZoneScope -ZoneName "DNS区域名称,如a.com" -Name "HKZone"
此时就创建了一个叫HKZone的逻辑子区域
3、在逻辑区域添加主机记录
正常情况下,DNS里指向exchange的记录,肯定是内部地址,这样便于北京员工收发邮件。现在我们在刚刚创建的HKZone逻辑区域中增加一条指向邮件系统公网IP的记录:
Add-DnsServerResourceRecord -ZoneName "a.com" -A -Name "mail" -IPv4Address "公网IP地址" -ZoneScope "HKZone"
4、创建一条默认策略和一条子策略
这两个策略的目的,是告诉客户端,如果要访问的地址不是exchange邮件系统,就找默认策略,如果是邮件系统,就找子策略
Add-DnsServerQueryResolutionPolicy -Name "DefaultPolicy" -Action ALLOW -ZoneScope "a.com" -Fqdn "ne,mail.a.com" -ZoneName "a.com" Add-DnsServerQueryResolutionPolicy -Name "jssqpolicy" -Action ALLOW -ClientSubnet "eq,HK" -zonescope "HKZone,1" -Zonename "a.com“