Active Directory: É necessário que o registro "A" de um domínio aponte para um Controlador de Domínio?

10

Atualmente, temos uma configuração do Active Directory e dizemos que o nome é 'example.com'. As entradas DNS de exemplo.com têm dois registros A apontando para os dois controladores de domínio. Gostaria que os usuários internos pudessem acessar nosso site usando http://example.com/ , mas não executamos o site fora dos controladores de domínio e não quero instalar o IIS ou outro serviço apenas um redirecionamento para www.example.com.

Se eu entendi corretamente, devo poder excluir essas entradas e adicionar um novo registro A apontando para o IP do servidor da Web e as coisas não serão interrompidas, pois os clientes geralmente usam os registros SRV para localizar controladores de domínio e outros enfeites.

Isso está correto? Eu não quero causar uma interrupção é a razão pela qual estou perguntando antes de mudar. :)

domain-name-system  active-directory 
Jeff Puckett
fonte
1
Obviamente, se você gostaria de usar domain.com, o problema desaparecerá (a menos que você tenha um servidor chamado "www").
John Rennie

Respostas:

17

Você está aprendendo por que não deve usar o mesmo nome de domínio para o Active Directory que está usando para sua presença externa na Internet.

Os registros "A" para o domínio referente aos controladores de domínio são usados ​​pelo DFS para resolver o nome do domínio em um controlador de domínio (principalmente para computadores clientes acessarem o SYSVOL). Se você excluir esses registros "A", verá uma quebra na política de grupo, entre outras coisas.

Se você não pode renomear o domínio do AD, acho que está preso colocando o IIS (ou algum outro servidor HTTP) nessas caixas para redirecionar os computadores clientes para o host correto.

É por isso que nomeio meus domínios do AD "ad.domain.com". Você deve ter um motivo muito, muito bom antes de criar uma zona DNS em um servidor DNS privado que corresponda a uma zona para a qual a Internet já possui servidores DNS autoritativos. Você fez isso e adicionou o Active Directory à mistura.

Evan Anderson
fonte
3

É necessário que esses registros A aponte para controladores de domínio. Eles são obrigatórios para DFS (SYSVOL, acesso Netlogon) e replicação. Nesse caso, você pode viver perigosamente e usar alguma ferramenta de redirecionamento ou pedir aos usuários que digitem www.domain.com. Você pode aliviar a dor de alguma maneira criando uma entrada favorita para domínio no IE ou criando essa página inicial para eles. Então eles têm que digitar raramente.

KAPes
fonte
1

É o equivalente ao Active Directory de colocar uma arma nos servidores e acionar o gatilho várias vezes.

Se as entradas foram criadas pelo AD, não mexa com elas. Você vai se arrepender disso.

Avery Payne
fonte
1
Isso é um pouco extremo. Você sempre pode fazer um "net stop netlogon" / "net start netlogon" para obter esses registros registrados novamente.
Evan Anderson
2
É um visual gratificante, no entanto!
squillman
0

Para resolver seu problema, implantando um arquivo host personalizado (/ system32 / drivers / hosts) neles como uma solução rápida, não recomendo mexer nas entradas DNS do Active Directory.

Maxwell
fonte
4
Nenhuma solução envolvendo "arquivos hosts" deve ser considerada uma boa idéia, IMO. Dito isto, se você fizer isso, interromperá o acesso ao domínio SYSVOL a partir desses computadores clientes.
Evan Anderson
Acho que eu deveria ter lido melhor esta pergunta. obrigado.
22630 Maxwell
0

Se você deseja que seus usuários acessem sua página da web, basta criar um novo nome de host no seu Gerenciador DNS (não o Active Directory) chamado www e apontar para seu host externo. Feito. então os usuários precisam digitar www.seudominio no navegador.

Um pouco tarde para você, eu reconheço, mas pode ajudar os outros.

magilla
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.