用于多站点的 AD,具有区域传输和本地 DNS 条目

用于多站点的 AD,具有区域传输和本地 DNS 条目

We have multiple sites in NV, TX, PA and NY. NV site is the primary site with AD and DNS server for all the users/hosts in NV. NV is also connected to TX, PA and NY through VPN. Currently, TX, PA and NY site use NV AD and DNS to reach hosts in NV. Now we want to create local AD and DNS in all three sites (PA, TX and NY). However, we still want all sites to reach NV site with DNS names. I think that part can be tackled with Zone Transfer from NV to PA, TX and NY. The most important part is to create local entries for hosts in three remote sites. Main site doesn't need to know anything about remote site's local entries. How can I achieve this? Could this be done using a child domain on main site or child domain on local site? Currently, we are in planning phase but I can do some testing and have the same domain as main site (abcxyz.com) on PA site (abcxyz.com). I created a new secondary DNS zone in PA and enabled zone transfer between PA and NV. And that works fine. However, I cannot figure out how to add local entries for PA site.--->>> 旧文

如果有人不能理解我想要达到的目的,我很抱歉造成混淆。

站点 A 有域 abcxyz.com。站点 A 有 2 台 AD 服务器,已为主机条目启用 DNS。这 2 台 DNS 服务器具有用于 abcxyz.io 的 AD 集成主区域。此站点的子网为 10.0.0.0/16(如果这很重要)。

我们有另一个站点,即站点 B。站点 B 目前有一台 AD 服务器,其域与站点 A (abcxyc.com) 相同。站点 A 和站点 B 通过 IPSec 隧道连接。站点 B 的 AD 服务器上已启用 DNS 服务,其中 AD 集成了辅助区域。站点 B 位于 10.1.0.0/16 子网中。

现在,所有指向站点 B 的 DNS 服务器的 DHCP 客户端都可以解析 10.0.0.0/16 子网中的站点 A 的主机,因为我已经启用了站点 A 的 2 AD DNS 服务器和站点 B 的 AD DNS 服务器之间的区域传输。

现在的问题是我无法为站点 B 的正向查找区域 > abcxyz.com 创建任何 DNS 条目,因为这是一个辅助区域。我可以在站点 A AD DNS 服务器中创建站点 B 的 DNS 条目(例如 ubntu1.abcxyz.com -> 10.1.100.100),并且可以从主服务器请求更新或等待刷新间隔。更新后,我在站点 B DNS 中看到了 ubntu1.abcxyz.com 的 DNS 条目,并且可以成功解析它。

这不是理想的解决方案,因为站点 A 将来会连接到多个不同的站点,并且如果在站点 A 和远程站点之间启用区域传输,则所有 DNS 条目都将传播到所有地方。因此,ubuntu1.abcxyz.com 将在整个组织的多个站点中传播。

我们希望站点 B 创建自己的 DNS 条目,这些条目将保留在其站点本地。其他站点不需要知道或了解这些条目。但每个站点都必须知道站点 A 的 DNS 条目。为此,我该如何实现域?我是否应该将所有站点包含在一个域下,然后创建子域或子域?还有其他解决方案吗?我很抱歉,因为我不是 AD 专家,所以我可能误用了一些术语。

答案1

创建 Active Directory 集成 DNS 区域,启用多主更新和安全动态更新。

构建 AD DS 以适合您的组织。确定多个域是否对组织有意义。

在每个物理位置部署 DC + DNS 服务器,分组到站点。这与多个 AD 域是分开考虑的,因为一个域可以跨遥远的物理位置进行复制。

对于 DNS,请在 ForestDNSZones 或 DomainDNSzones 之间进行选择:ForestDNSZone 与 DomainDNSZones。例如,如果可以接受所有站点都可以看到所有 DNS 区域,则将它们复制到所有地方就很容易了。

答案2

根据您所写的内容,我不知道您想要实现什么。您可能应该做的是在每个站点部署至少一个域控制器,在 Active Directory 站点和服务中创建站点和子网,并将 DNS 区域转换为 Active Directory 集成区域。

相关内容