我接手了对另一个系统管理员设置的 Windows 2008 域的支持。该域的 DNS 名称为 admin.example.com,一个网站也使用相同的 DNS 名称。设置该域的系统管理员从未将其放入公司 DNS 服务器。如果我们的 Windows 域客户端使用 AD DNS,它们可以正常工作。
多年来我们一直都顺利地过日子。现在我想与主要公司 AD 建立信任,但我担心这样做行不通,因为 Web 服务器有 admin.example.com,公司 AD 会感到困惑。
不幸的是,我无法替换 AD 的 admin.example.com DNS 记录。网站所有者不会放弃它。
有谁能给出一些建议,教我如何让它工作,而不用做太多黑客的事情。显然,公司 AD 只需添加 admin.example.com 的 DNS 记录以指向我的域,但我正在寻找更优雅的解决方案。端口转发对网站不起作用(将端口 80/443 转发到网站,将所有其他流量转发到 admin.example.com 的 AD)。
另一位 AD 系统管理员建议在公司 DNS 中设置 DNS 记录,按照本文所述:https://support.microsoft.com/en-us/kb/255913
这篇文章似乎过时了,但它会让 admin.example.com 独自留在网站上,理论上允许 AD 服务器彼此正常协作,并且新的企业 AD 信任和 AD 域客户端将继续工作。
本文建议在企业绑定DNS中添加以下记录:
DomainDnsZones.admin.example.com. IN NS dc1.admiin.example.com.
DomainDnsZones.admin.example.com. IN NS dc2.admin.example.com.
ForestDnsZones.admin.example.com. IN NS dc1.admin.example.com.
ForestDnsZones.admin.example.com. IN NS dc2.admin.example.com.
_msdcs.admin.example.com. IN NS dc1.admin.example.com.
_msdcs.admin.example.com. IN NS dc2.admin.example.com.
_sites.admin.example.com. IN NS dc1.admin.example.com.
_sites.admin.example.com. IN NS dc2.admin.example.com.
_tcp.admin.example.com. IN NS dc1.admin.example.com.
_tcp.admin.example.com. IN NS dc2.admin.example.com.
_udp.admin.example.com. IN NS dc1.admin.example.com.
_udp.admin.example.com. IN NS dc2.admin.example.com.
答案1
[另请参阅上面的评论] 如果您的公司 DNS 是基于 BIND 的 DNS,则可以为该域设置不同的视图,以便将来自某些子网的客户端带到您的 AD - 不确定这对您是否有帮助。或者让他们为这个域设置条件转发,正如您提到的那样 - 但当然,相同的公共域将不再从内部解析。我看不出有任何简单的方法可以解决这个问题。这取决于拥有解析特定公共域的能力有多重要,否则条件转发是更简单/更好的方法,因为唯一的其他方法是域重命名。