Le NAT de l'intérieur à l'intérieur, également appelé bouclage NAT, résout les problèmes NAT en épingle à cheveux lors de l'accès à un serveur Web sur l'interface externe d'un ASA ou d'un périphérique similaire à partir d'ordinateurs sur l'interface interne. Cela empêche les administrateurs DNS d'avoir à maintenir une zone DNS interne en double qui a les adresses RFC1918 correspondantes pour leurs serveurs qui sont NATted aux adresses publiques. Je ne suis pas ingénieur réseau, donc je manque peut-être quelque chose, mais cela semble être une évidence à configurer et à mettre en œuvre. Le routage asymétrique peut être un problème mais est facilement atténué.
D'après mon expérience, les administrateurs / ingénieurs réseau préfèrent que les systèmes exécutent simplement des split-dns plutôt que de configurer leurs pare-feu pour gérer correctement les épingles à cheveux NAT. Pourquoi est-ce?
ad.example.com
ou similaire (comme il se doit !), Ce problème existera pour toutes les example.com
entrées DNS publiques et rien en interne n'est publié en externe. Bien sûr, si vous avez nommé votre AD de la même manière que votre présence publique, vous devez utiliser le DNS partagé, mais ce n'est pas une conception AD de meilleure pratique.