无法查询托管在AWS Route 53上的托管子域
内部部署(代表Azure ADDS实例充当DNS服务的防火墙)---->通过vpn --->到Azure网关,在此网关托管了Azuer ADDS实例。现在,当客户端位于内部部署网络中时,dns会同时通过防火墙来查询Internet,同时客户端也可以通过Internet加入Azure AD。问题是,当用户要查询任何非托管域时,防火墙允许用户访问Internet上该非托管域,但是当涉及托管域时,dns查询会将请求转发到防火墙,然后针对Azure进行防火墙查询ADDS DNS服务(如果找不到该条目)则用户将无法访问域。
对于一个实例:假设我有一个名为abc.com的域,该域已向Azure注册为自定义域,并且它还具有托管在AWS Route S3上的多个公共DNS条目,例如vpn.abc.com,blog.abc.com。等等。根据上述情况,当用户查询某些第三方网站(例如example.com)时,防火墙允许流量在intenet中查找,好像查询是vpn.abc.com一样,然后将dns请求发送到Azure通过VPN上的防火墙进行ADDS DNS服务,如果不存在实体,则用户将无法访问指定的域vpn.abc.com。
有人说条件转发有效,有人说使用域延迟有效,但是这种情况的正确方法是什么。