Dwie różne domeny i kontrolery domen w jednej sieci

10

Próbuję ustalić, czy możliwe jest posiadanie dwóch kontrolerów domeny Active Directory w tej samej sieci, w tej samej podsieci, z dwoma oddzielnymi domenami. Nie chcę, aby te dwa kontrolery domeny były połączone w jakikolwiek sposób (konta itp.), Z wyjątkiem przełącznika, który je łączę.

Moje obecne obawy dotyczą DNS - moim zdaniem jest to główny problem. Ponieważ mam jeden serwer DHCP obsługujący całą sieć, chcę mieć jeden zestaw adresów IP serwera DNS wszystkim klientom. Jednak serwer DNS domeny A nie będzie w stanie odpowiadać na zapytania dotyczące domeny B i tak dalej.

Wyobrażam sobie, że można to rozwiązać za pomocą usług przesyłania dalej - IE, mogłem ustawić adresy IP obu serwerów DNS w mojej konfiguracji DHCP, a następnie powiedzieć DomainA, aby przekazywał żądania * .DomainB do DNS DomainB i odwrotnie. Mógłbym również użyć pojedynczej agregacji, która poprawnie przesyła żądania do poszczególnych serwerów.

Nie wiem jednak, czy to zadziała, czy też istnieje lepsza opcja. Gdyby to była sieć biznesowa, wybrałbym VLANS, wiele serwerów DHCP itp. Jednak szukam prostoty (tyle prostoty, ile można osiągnąć za pomocą kontrolera domeny w domu ...)

Powód uruchomienia dwóch kontrolerów domeny w tej samej sieci? Prowadzę laboratorium w moim domu i teraz przekonałem osobę, z którą mieszkam, do prowadzenia własnego kontrolera domeny. Chcę jednak zachować segregację ze względów bezpieczeństwa.

Każda pomoc jest mile widziana.

BSchlinker
źródło

Odpowiedzi:

8

Dwie domeny nie będą ze sobą kolidować w tej samej sieci. Między nimi nie zostanie ustanowione zaufanie, chyba że zostanie ono ręcznie ustanowione.

Problem z DHCP jest prawidłowy, a Twoja potencjalna poprawka jest poprawna - możesz przekazać adres DNS jednej domeny przez DHCP i użyć usługi przesyłania dalej, aby rozwiązać obszar nazw drugiej domeny. Alternatywną poprawką byłoby ręczne skonfigurowanie sieci dla klientów w jednej z domen i ręczne skierowanie ich DNS na właściwy kontroler domeny. Możesz zostawić klienta innej domeny pracującego z DHCP.

Mamy kilka podsieci używanych do testowania wewnętrznego i na nich działa ponad 5 różnych domen, bez prawdziwych problemów.

Chris Thorpe
źródło
3

Miałem dość długą odpowiedź na wszystkie pytania, dlaczego nie powinieneś iść tą drogą, a potem ponownie przeczytałem twoje pytanie i zobaczyłem część, w której powiedziałeś, że to jest w twoim domu, więc oto moja poprawiona odpowiedź:

Przypisuj tylko serwery DNS jednej domeny przez DHCP. Na tych serwerach DNS skonfiguruj usługi warunkowego przesyłania dalej dla innej domeny lub utwórz strefę skrótową dla innej domeny.

Nie zrobiłem tego, więc nie jestem w 100% przekonany, że to zadziała, ale nie mogę wymyślić żadnego powodu, dla którego by tak nie było.

joeqwerty
źródło
3

Właśnie skończyłem robić to dla scenariusza migracji. Udało się ... Trochę.

Zastrzeżeniem, na które należy uważać, jest przyrostek nazwy domeny. Jeśli wybierzesz taki, klienci będą mieli trudności z rozpoznaniem niektórych nazw hostów. Więc nie określaj jednego. W ten sposób klienci rozpoznają nazwy hostów na podstawie domeny, do której są przyłączeni.

Poza tym po prostu skonfiguruj poprawnie warunkowe usługi przesyłania dalej DNS i wszystko powinno być w porządku.

Jason Berg
źródło
Nie musisz konfigurować opcji sufiksu DNS dla zakresu DHCP. Pozostawieni nieskonfigurowani przez DHCP, klienci DHCP powinni używać podstawowego sufiksu DNS z członkostwa w domenie. W rzeczywistości w domenie AD nie ma powodu, aby konfigurować opcję sufiksu DNS w zakresie DHCP. Konfiguruję tę opcję tylko wtedy, gdy mam do czynienia z klientami spoza domeny, którzy chcą mieć wspólne rozpoznawanie nazw DNS i rejestrację nazw DNS.
joeqwerty
@joe - Wydaje mi się, że nie jestem w stanie -1 własnego postu, więc właśnie go poprawiłem. Dziękujemy za Twoją wiedzę i wkład.
Jason Berg
Miło, że mogłem pomóc. +1 za zaktualizowaną odpowiedź.
joeqwerty
0

Polecam przeniesienie usług DNS do systemu Linux. Domeny Windows to nie to samo co domeny internetowe, ale widzę, że klienci cały czas to mylą.

Im mniej narażone jest środowisko Windows w Internecie, tym bardziej będziesz szczęśliwy.

Ralph H.
źródło