Active Directory: Czy wymagane jest, aby rekord „A” domeny wskazywał na kontroler domeny?

10

Obecnie mamy konfigurację usługi Active Directory i mówimy, że nazwa to „example.com”. Wpisy DNS na przykład example.com mają dwa rekordy A wskazujące na dwa kontrolery domeny. Chciałbym, aby użytkownicy wewnętrzni mogli uzyskać dostęp do naszej witryny za pomocą http://example.com/, ale nie uruchamiamy strony z kontrolerów domeny i nie chcę instalować IIS ani innej usługi tylko todo przekierowanie do www.example.com.

Jeśli dobrze rozumiem, powinienem być w stanie usunąć te wpisy i dodać nowy rekord A wskazujący adres IP serwera WWW i rzeczy się nie psują, ponieważ klienci zwykle używają rekordów SRV do lokalizowania kontrolerów domeny i tak dalej.

Czy to jest poprawne? Nie chcę powodować awarii, dlatego pytam przed samą zmianą. :)

domain-name-system active-directory Jeff Puckett
źródło
1
Oczywiście, jeśli z przyjemnością skorzystasz z domain.com, problem zniknie (chyba że masz serwer o nazwie „www”).
John Rennie,

Odpowiedzi:

17

Dowiadujesz się, dlaczego nie powinieneś używać tej samej nazwy domeny dla usługi Active Directory, jak używasz do zewnętrznej obecności w Internecie.

Rekordy „A” dla domeny odnoszące się do kontrolerów domeny są używane w systemie plików DFS do tłumaczenia nazwy domeny na kontroler domeny (głównie dla komputerów klienckich w celu uzyskania dostępu do SYSVOL). Jeśli usuniesz te rekordy „A”, zobaczysz między innymi złamanie zasad grupy.

Jeśli nie możesz zmienić nazwy domeny AD, myślę, że utknąłeś w ustawianiu IIS (lub innego serwera HTTP) na tych polach, aby przekierować komputery klienckie na właściwy host.

Dlatego nazywam moje domeny AD „ad.domain.com”. Powinieneś mieć naprawdę dobry powód, zanim utworzysz strefę DNS na prywatnym serwerze DNS, który pasuje do strefy, dla której Internet ma już wiarygodne serwery DNS. Zrobiłeś to i dodałeś Active Directory do miksu.

Evan Anderson
źródło
3

Wymagane jest, aby te rekordy A wskazywały na kontrolery domeny. Są one niezbędne do DFS (SYSVOL, dostęp do Netlogon) i replikacji. W takim przypadku możesz żyć niebezpiecznie i skorzystać z narzędzia przekierowującego lub poprosić użytkowników o wpisanie www.domain.com. Możesz w jakiś sposób złagodzić ich ból, tworząc ulubiony wpis dla domeny w IE lub tworząc dla nich tę stronę główną. Muszą więc pisać rzadko.

KAPes
źródło
1

Jest to odpowiednik Active Directory polegający na włożeniu pistoletu na serwery i wielokrotnym pociągnięciu za spust.

Jeśli wpisy zostały utworzone przez AD , nie zadzieraj z nimi. Będziesz tego żałować.

Avery Payne
źródło
1
To trochę ekstremalne. Zawsze możesz wykonać polecenie „net stop netlogon” / „net start netlogon”, aby ponownie zarejestrować te rekordy.
Evan Anderson
2
Jest to jednak satysfakcjonująca grafika!
squillman
0

Możesz rozwiązać problem, wdrażając do nich niestandardowy plik hosta (/ system32 / drivers / hosts), ale nie polecam bałagania się wpisami dns usługi Active Directory.

Maxwell
źródło
4
Żadne rozwiązanie obejmujące „pliki hostów” nie powinno być uważane za dobry pomysł, IMO. Powiedziawszy to, gdybyś to zrobił, złamałbyś dostęp do domeny SYSVOL z tych komputerów klienckich.
Evan Anderson
Myślę, że powinienem był przeczytać to pytanie. dzięki.
Maxwell,
0

Jeśli chcesz, aby użytkownicy dotarli do Twojej strony internetowej, po prostu utwórz nową nazwę hosta w Menedżerze DNS (nie Active Directory) o nazwie www i wskaż ją na zewnętrznym hoście internetowym. Gotowy. wtedy użytkownicy muszą po prostu wpisać www.twojadomena w przeglądarce.

Trochę spóźnię się dla ciebie, ale mogę pomóc innym.

magilla
źródło