我们有
一个在DMZ中运行的
邮件网关,它是我们收集所有
邮件的内部
邮件服务器的中继.我们已经开始需要使用DMZ中的DNS来解析内部服务的
名称(例如内部
邮件服务器等).
我们应该允许从DMZ到LAN的DNS查询吗?如果某些DMZ服务器遭到入侵,这将导致严重的违规行为.另一方面,不允许DNS查询使我们的灵活性降低.
我开始讨论分裂脑的概念,我认为,这将解决问题,但我不太明白如何在Windows AD集成环境中实现它.
使用您希望通过DNS解析的服务器在
邮件网关服务器上完成hosts
文件.