NAT từ trong ra ngoài hay còn gọi là NAT loopback giải quyết các vấn đề về NAT kẹp tóc khi truy cập máy chủ web trên giao diện bên ngoài của ASA hoặc thiết bị tương tự từ các máy tính trên giao diện bên trong. Điều này ngăn quản trị viên DNS không phải duy trì vùng DNS nội bộ trùng lặp có địa chỉ RFC1918 tương ứng cho các máy chủ của họ được NAT thành địa chỉ công cộng. Tôi không phải là kỹ sư mạng, vì vậy tôi có thể đang thiếu một cái gì đó, nhưng điều này có vẻ như không có trí tuệ để cấu hình và thực hiện. Định tuyến không đối xứng có thể là một vấn đề nhưng dễ dàng giảm nhẹ.
Theo kinh nghiệm của tôi, các quản trị viên / kỹ sư mạng thích rằng mọi người trong hệ thống chỉ chạy split-dns hơn là cấu hình tường lửa của họ để xử lý đúng các kẹp tóc NAT. Tại sao lại thế này?
ad.example.com
hoặc tương tự (như nó nên được!), Sau đó vấn đề này sẽ tồn tại cho tất cả các công example.com
mục DNS và không có gì nội bộ được công bố ra bên ngoài. Tất nhiên, nếu bạn đã đặt tên cho AD của mình giống như sự hiện diện công khai của bạn, bạn phải sử dụng DNS tách, nhưng đó không phải là một thiết kế AD thực hành tốt nhất.