据我所知,如果服务器不能通过 DNS 解析 AD 域,则无法将服务器加入 AD。加入需要能够从 DNS 获取多个记录 - 包括 SRV 记录。因此,简单的主机文件条目不应该起作用。
考虑到这一点,我的问题是,我是否正确,有没有其他方法可以将服务器加入 AD,而无需访问托管 AD 记录的 DNS 服务器?
我问的原因是:
我有一些位于 AWS 中的服务器需要加入企业网络内的 AD 域。我们有从 AWS 回到企业网络的 VPN 隧道。此域未在我们可从 AWS 访问的公共 DNS 服务器上公布。我们有一个具有相应记录的内部企业 DNS 服务器。现在,通过企业端的一些网络更改,我们可以通过 VPN 隧道访问此 DNS;但是,在 AWS 中,我们使用带有委托区域的 AWS DNS 服务来解析 AWS 内的服务器到服务器通信,然后它会将无法解析的任何问题发送到我们的企业公共 DNS 服务器。我们还使用 AWS DNS 服务器对 AWS 进行运行状况检查以触发区域故障转移。
如果我们通过 VPN 隧道将我们的 AWS 服务器指向我们的内部公司 DNS,那么我们将无法再在 AWS 内部进行解析。
我只看到几个选项。
找到一种不使用 DNS 将服务器加入 AD 的方法,我认为这是不可能的,原因我之前已经说过了。但如果有人有不同意见,请说出来。
在我们的外部(公共)DNS上公开AD DNS记录。
重新设计我们整个云和企业环境的 DNS 设计。这个选项需要时间,也许这将是长期解决方案。但与此同时,我也需要一个短期解决方案。选项 1 和 2 是我能想到的唯一短期解决方案,如果 1 不可能(正如我所想的那样),那么我只剩下选项 2 了。
那么您是否同意选项 1 是不可能的,并且/或者您是否有我尚未列出的其他想法。
提前致谢
答案1
如果计算机无法访问该域的内部 DNS 区域,则无法加入 AD 域;即使可以加入域,当计算机无法正确查询 AD DNS 记录时,与 AD 相关的任何操作(包括登录、GPO 等)都无法进行。
在 AWS 中,我们使用具有委托区域的 AWS DNS 服务来解析 AWS 内服务器之间的通信,如果无法解析,则会将问题转至我们公司的公共 DNS 服务器
正确的解决方案是让 AWS 中的服务器使用您的内部 DNS 服务器,该服务器还应包含 AWS 服务器名称的记录(如果它们已加入域则自动创建,如果未加入域则手动创建),以便它们能够解析彼此的名称;当然,您的内部 DNS 服务器也应该能够解析 Internet 名称,因此它也可以对 AWS 服务器执行此操作。
这真实的解决方案是在 AWS 机器中创建一个域控制器并为 AWS 网络定义一个 Active Directory 站点,然后让所有 AWS 服务器使用该 DC 作为其 DNS 服务器;通过这种设置,DNS 查询和域登录不必每次都穿过 VPN,即使 VPN 连接断开也能继续工作。