请原谅这篇解释篇幅较长的文章,我希望它能让人理解!
我们在工作中就如何最好地保护我们的 AD DNS 模式进行了一些争论。
我们的 AD 采用 3 层安全流程设计,其中 T0 为架构(能够管理核心 DNS 区域和 AD 的其他结构元素),T1 为超级管理员,可以管理 AD,但不能管理任何架构(例如,只有 T1 可以颁发证书或删除/修改用户帐户)。T2 只是普通的本地管理员,可在任何服务器上获得本地管理员权限,但不能更改任何用户帐户信息...
无论如何,我们有一个基础 DNS。我们的 AD DC 就在其中。我们称之为 contoso.com。这是一个单林、单域设置。我们还创建了一些子区域,比如 sales.contoso.com 和 marketing.contoso.com。
所有非 Windows(Linux 和其他非 MS AD 客户端)都放置在其子区域中。手动创建 DNS 记录以反映其 DNS 位置和相应的 IP 地址。
但是,默认情况下,所有 Windows 客户端加入域后最终都只会进入 contoso.com。我曾建议在加入 AD 后更改他们的 DNS 区域,以便他们可以进入正确的 DNS 区域(sales.contoso.com 或 marketing.contoso.com)。但我的同事建议“不支持这样做”。
我们目前遇到的问题是,任何经过身份验证的用户都可以将任何 Windows 计算机添加到域中。当他们这样做时,该计算机最终会进入 contoso.com。但是,只有 T0 域管理员才能在此处进行任何更改,而这些人不一定可用。在正常操作下,理想情况下需要能够管理计算机,更新所有正常计算机和服务器的 DNS 记录,但最好不需要 T0 架构管理员。
我理解保护 contoso.com 的偏好,因为那里有域控制器以及所有 DNS 信息(在 _msdcs.contoso.com 等中)。除了 T0 之外,您不会希望任何人在那里乱动更改内容。
我的建议是将域控制器和根 PKI/CA 保留在 contoso.com 中,但允许将所有其他成员计算机放置在其选择性子 DNS 区域中。
这意味着 T1 管理员可以对他们有权这样做的子区域进行任何更改(但不能对 contoso.com 进行更改,因为其仍完全受 T0 控制)。
这是个坏主意吗?加入域的计算机必须位于根 contoso.com DNS 区域,这有什么原因吗?它们不能被移到允许委派给本地 T1 管理员管理的子区域吗?
任何想法和经验都值得赞赏。
答案1
据我所知,没有严格的原因;计算机在 DNS 中的注册与其 AD 成员身份没有很强的关联性(尽管注册过程经过身份验证经过其 AD 成员身份)。您能您可以在任何时候通过系统设置更改计算机的“主 DNS 后缀”,它会尝试在您想要的任何区域下自行注册 DNS 记录。无论 DNS 后缀是什么,它仍会知道自己是哪个 AD 域的成员。
(DNS 记录由主机自己通过 Kerberos 认证的 DNS UPDATE 请求管理 - 而不是由您的 DC 管理。)
但是,请确保计算机在其 AD 帐户上的 SPN 已相应更新(但我认为,只要您更改其主 DNS 后缀,Windows 就会自动执行此操作),因为它需要能够在验证交互式登录时获取自身的票证(即其自己的 FQDN)。
(就我个人而言,我会将“ad.contoso.com”用于 AD 林,并将“contoso.com”留给非 AD 管理。)