我来给你分享几个在企业Split DNS环境下，实现主域名强制走Cloudflare代理的实用方案，都是实际运维中验证过的可行思路：

方案一：直接修改内部Windows DNS服务器的主域名解析记录 #

这是最直接高效的方法，相当于在内部DNS系统里手动指定主域名的解析结果为Cloudflare的代理节点IP：

• 打开Windows服务器的DNS管理器，定位到你管理的主域名区域（比如yourdomain.com）
• 删除该区域中现有指向内部服务器的主域名（@）A/AAAA记录
• 新建A记录（对应IPv4）和/或AAAA记录（对应IPv6）：主机名留空（代表根域），记录值填写Cloudflare面板中开启橙色代理云朵后显示的官方代理IP
• 保存设置后，可在内部客户端执行ipconfig /flushdns强制刷新本地DNS缓存，立即生效

注意：Cloudflare的代理IP可能会不定期更新，建议你定期核对官方IP列表，或者用简单脚本自动同步这些IP到DNS记录，避免解析失效。

方案二：为主体名配置DNS条件转发器 #

如果不想手动维护IP地址，可以让内部DNS服务器针对主域名的查询，直接转发到Cloudflare公共DNS，由其返回最新的代理IP：

• 在Windows DNS管理器中，右键点击「条件转发器」，选择「新建条件转发器」
• 输入你的主域名（比如yourdomain.com），然后添加Cloudflare的公共DNS地址：1.1.1.1、1.0.0.1（IPv4）或2606:4700:4700::1111、2606:4700:4700::1001（IPv6）
• 若你的环境用了Active Directory，可勾选「将此条件转发器存储在Active Directory中，并按照下列方式复制」，否则直接保存配置
• 配置完成后，内部客户端查询主域名时，DNS服务器会自动向Cloudflare DNS发起请求，获取的自然是带代理的解析结果

验证设置效果 #

完成配置后，记得在内部客户端做简单验证：

• 打开命令提示符，执行nslookup yourdomain.com，确认返回的IP是Cloudflare的代理IP而非内部服务器IP
• 访问网站后，在浏览器开发者工具的「网络」标签中，查看响应头是否包含CF-RAY字段（这是流量经过Cloudflare代理的典型标志）

备注：内容来源于stack exchange，提问作者Daryl1976