我们有一个在DMZ中运行的邮件网关,它是我们收集所有邮件的内部邮件服务器的中继.我们已经开始需要使用DMZ中的DNS来解析内部服务的名称(例如内部邮件服务器等).

我们应该允许从DMZ到LAN的DNS查询吗？如果某些DMZ服务器遭到入侵,这将导致严重的违规行为.另一方面,不允许DNS查询使我们的灵活性降低.

我开始讨论分裂脑的概念,我认为,这将解决问题,但我不太明白如何在Windows AD集成环境中实现它.