我正在尝试在 Windows Server 2012 R2 上设置域控制器。我读到最佳实践是不要使用虚构的 TLD(例如 .local、.lan 等),而是使用您实际拥有的 TLD(例如 mysite.com)。我通过 namecheap.com 注册了一个域名,他们提供邮件托管和 DNS。我没有静态 IP 地址(很少更改,但有可能更改)。我想继续使用它们作为 DNS(我只有几个记录,@ 和 www,但将来可能会添加更多)。如果我的 IP 地址发生变化,我会使用一个工具来更新 DNS。我决定将域控制器的根目录设为 dc.mysite.com。
人们的 DNS 中是否通常会有类似 AD.mysite.com 或 DC.mysite.com 的面向公众的 IP?我更希望将其解析为 192.168.1.x,而不是面向 Internet 的 IP。
看来我需要将域控制器委托给子域。DNS 角色将安装在同一台服务器上。它只用于域控制器。我想在本地创建一个子域(仅面向内联网),而不涉及我的 DNS 提供商(namecheap.com)- 这可能吗?我更愿意将其保留为仅面向内联网,并让 @ 和 www 的查询通过,并让 namecheap.com DNS 对其具有权威性。
答案1
除非您要向使用公共 DNS 解析器的计算机提供与 Active Directory 相关的服务(这是不明智的,因为 AD 的安全态势并非设计为直接暴露在公共 Internet 上),否则您无需将 AD DNS 命名空间暴露在 Internet 上。通常,所有域成员计算机(包括域控制器 (DC) 计算机)都将在您的林中的 DC 上运行 DNS 服务器。这些服务器通常会通过防火墙与 Intenrnet 隔离。
您在最后一段中所说的或多或少是正确的。当您说“...”并让 @ 和 www 的查询通过...”时,这似乎意味着您认为您必须做点什么。假设您没有在 DC 的 DNS 配置中创建“mysite.com”区域,DNS 服务器服务将自动递归解析它不具有权威性的任何域。
答案2
您说得对,当前的传统观点(也是被广泛认为的最佳做法)是将公共域中未使用的子域用于 AD。无论出于何种目的,关系都到此为止。您的公共 DNS 和 AD DNS 不需要互操作。从技术上讲,您不需要将子域委托给 AD DNS 服务器,因为您的公共 DNS 和 AD DNS 应该作为单独的命名空间进行管理。您不应将您的 AD DNS 服务器暴露给互联网。
如果您的 AD 域已命名,ad.mysite.com则您的 AD DNS 服务器对 具有权威性ad.mysite.com。它对 不具有权威性mysite.com。任何内部资源请求mysite.com都将由您的外部 DNS 服务器解析。