创建我们公共域的子域,供公司/内部 Active Directory 使用。公共域也是我们的 Office 365 和 Azure 域

创建我们公共域的子域,供公司/内部 Active Directory 使用。公共域也是我们的 Office 365 和 Azure 域

我们当前的内部 AD 域就是示例。当地的(在我加入我们的团队之前就已设立,当时这是最佳做法)

我们的 Office 365 域是一个公共的、在 GoDaddy 注册的域,我们用它来处理电子邮件、SharePoint、团队等,以及一个 Azure 租户,称之为示例。com。我知道现在最佳做法是设置公共域名的子域名,我们可以将 corp.example.com 作为用于我们的 AD/内部 DNS 的子域名。

尽管不是专家,但我对 DNS 相当熟悉,并且我从未设置过公共域名的子域名。

有人能简要介绍一下如何做到这一点吗?我已经阅读了尽可能多的文档,其中大部分都同意子域名的概念,但对于如何实际做到这一点却存在争议。我们的公司用户不多,他们大多数都在远程站点,不需要访问我们的公司 AD。我们的 AD 相当简单,没有太多的组策略或任何在创建新域时可能会丢失的东西。

我计划删除我们当前的 example.local 域(不会尝试重命名它),并为子域和 AD 设置一个新的服务器/DC。我有能力在 GoDaddy 上管理我们的 DNS,我只需要知道正确的步骤以及如何将其转换回 AD。

有人能指导我,简要介绍要采取的步骤以及执行顺序吗?我有点困惑如何告诉 AD 和内部 DNS 它是一个公共注册域的子域。

我认为没有必要使用裂脑 DNS,因为我们的公共网站有一个完全不同的域,与上述任何内容无关。目前,就目前情况而言,我们内部服务器的 fqdn 是 server.example。当地的。我完成此操作后的预期是,我们的内部服务器的 fqdn 将是 server.corp.example。com. (如前所述,example.com 是我用来创建子域名的主要公共域名。)

在此先感谢您提供的任何帮助。新子域的内部 AD/DNS 服务器正在运行 Windows 2019 标准版。

沙琳

答案1

我个人不明白为什么拥有一个名为公司网站例如,公司局域网。或者其他任何东西。如果您知道任何好处,请分享。

如果您使用 AD 的公共子域,则无需在公共 DNS 区域配置中添加任何内容。这很重要不是公开发布任何内部记录。

唯一不好的想法是使用你的公共域名company.com作为内部 AD 域名。除此之外,您无需担心

答案2

此 MSFT 文档概述了您描述的子域场景中的基本设置:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772970(v=ws.10)

您无需“告诉”您的 DC,它们从属于上游区域。只需安装 AD 和 DNS 角色,指定域 FQDN,它就会在设置期间将子区域配置为 DC 上的权威区域。

如果您在 DC 的网络适配器上配置了外部 DNS 主机地址的 DNS 客户端,安装程序将向您发出警告,因为它将尝试注册其新的 DNS 名称。但请忽略它,上游 DNS 不需要知道它。

对于需要从 Internet 访问的内部托管资源,您可以为内部资源(如网站或 VPN)分配一个公共 IP 和一个公共 DNS 名称,然后通过这种方式访问​​它,而不是完全公开/委托私有命名空间 - 如果可能的话,这绝对应该避免。这是 MSFT 文档中描述的场景。关于第 4 点,您无需担心禁用 DNS 提供商的动态注册,因为我怀疑它是否已启用。

主要决定是如何为域成员​​进行外部名称解析。当然,成员应使用 DC 作为其 DNS 主机。DC 将需要在 Internet 上解析名称。理想情况下,DC 会将查询转发给特定的 DNS 提供商 - 这会使防火墙的工作更加轻松。我链接的文章中的第 5 点讨论了这些选项。

我认为在您的场景中,您会使用 ISP 的 DNS - 无论您现在如何操作。如果您当前的提供商不提供 DNS 安全,那么值得考虑提供 DNS 安全的 DNS 服务提供商,如 OpenDNS 或 Cloudflare - 额外的钓鱼网站保护等非常棒,而且这些服务可以是免费的或相当便宜的。如果您选择这种方式,只需确保您选择的那个具有本地接入点(至少是全国性的)。后备方案是让 DC 使用根提示,但这意味着它们需要在整个 Internet 上进行查询,我当然更喜欢 OpenDNS 等而不是该选项。您应该定义多个转发器,除非您知道转发器 IP 实际上是具有多个主机的 VIP。

MSFT 文档中还有许多其他章节值得一看。但是,除非您要公开内部命名空间并从上游 DNS 注册商委托给它,否则内部 DNS 根服务器之类的东西就无关紧要了。同样,这是您要避免的情况。

此外,在安装第一个 DC 后,请记住在网络配置中检查其自己的 IP 是主 DNS 主机,加上 127.0.0.1。如果 DNS 转发器设置为将查询中继到您的外部 DNS,我认为您也不需要将其定义在网络配置中(当然,要进行测试以验证 DC 是否可以解析外部名称)。

对于后续 DC,在安装 ADDS 之前,请配置网络,以便第一个 DC 是其主 DNS,然后是其自身,然后是 127.0.0.1。在第二个 DC 上完成设置并完成复制后,确保第一个 DC 可以解析它,并设置其网络配置,以便第二个 DC 是第一个 DNS 主机(保留其他条目)。

相关内容