Active Directory网络中DNS服务器的规划

（2）打开TMG2010，创建一条策略，允许“本地主机”以“DNS”协议访问“外部”，这样可以做到让本地的DNS服务器，访问根DNS服务器或其他（由DNS服务器转发器所指定的）DNS服务器；然后再创建一条策略，允许“内部”以“DNS协议”的方式访问“本地主机”；再次创建一条策略，允许“本地主机”以“DNS协议”访问“172.30.5.15”的Active Directory服务器。当然，上述三条策略只是允许内网中的工作站能通过TMG2010的DNS服务器解析到正确的地址，你也可以根据需要，合并这些策略。如图3所示，这是实际工作中某TMG2010服务器的策略，该策略也包括了述所需要的策略。

查看原图（大图）

图3 TMG2010策略

在图3中，允许“本地主机”以“任何协议”访问“任何地址”，这允许TMG2010这台服务器以DNS协议访问Internet以及 “172.30.5.15”的Active Directory服务器；允许从“任何地址”使用“PING”与“DNS”协议访问“本地主机”，这包括了“内网”用户以DNS协议访问本地主机。

（3）然后指定网络中的工作站的DNS地址使用172.30.5.253即可。以后，当网络中的工作站，解析的域名是互联网域名时，将由 TMG2010解析；当网络中的工作站，解析的是Active Directory的域名时，将由TMG2010转发给Active Directory服务器解析。

出处：http://wangchunhai.blog.51cto.com/225186/332581