背景說明:
1、北京公司與各分子公司通過4M專線互聯
2、集團域控及DNS服務部署在北京,分子公司部署了額外域控,同時定期與北京主域控同步
3、集團exchange郵件系統部署在北京,全集團分支結構均通過專線使用該郵件系統,郵件系統可通過互聯網訪問
需求分析:
1、由於各分子公司與北京之間的專線只有4M帶寬,主要用於ERP等核心業務
2、各分子公司終端DNS指向本地的額外域控,該情況會導致終端的郵件流量也會跑到專線上
3、本次變更主要是通過部署智能DNS系統,使分子公司終端能通過當地互聯網連接集團郵件系統,同時其它核心業務依然通過專線連接。
實現方法:
在分子公司額外域控上,創建智能DNS解析,我們以香港公司為例。
1、在額外域控上創建DnsServerClientSubnet
這一步的主要目的是告訴DNS Server,我有一段子網,這段子網的DNS請求需要進行轉發。
以管理員身份打開powershell並執行命令:
Add-DnsServerClientSubnet -Name “HK”-IPv4Subnet "172.16.5.0/24"
此時,我們就創建好了一個叫“HK”的子網。
2、在DNS區域下創建一個或多個邏輯地理區域
Add-DnsServerZoneScope -ZoneName "DNS區域名稱,如a.com" -Name "HKZone"
此時就創建了一個叫HKZone的邏輯子區域
3、在邏輯區域添加主機記錄
正常情況下,DNS裡指向exchange的記錄,肯定是內部地址,這樣便於北京員工收發郵件。現在我們在剛剛創建的HKZone邏輯區域中增加一條指向郵件系統公網IP的記錄:
Add-DnsServerResourceRecord -ZoneName "a.com" -A -Name "mail" -IPv4Address "公網IP地址" -ZoneScope "HKZone"
4、創建一條默認策略和一條子策略
這兩個策略的目的,是告訴客戶端,如果要訪問的地址不是exchange郵件系統,就找默認策略,如果是郵件系統,就找子策略
Add-DnsServerQueryResolutionPolicy -Name "DefaultPolicy" -Action ALLOW -ZoneScope "a.com" -Fqdn "ne,mail.a.com" -ZoneName "a.com" Add-DnsServerQueryResolutionPolicy -Name "jssqpolicy" -Action ALLOW -ClientSubnet "eq,HK" -zonescope "HKZone,1" -Zonename "a.com“
分享到:
