Temos um problema com o qual estamos lutando há algum tempo desde que implantamos 10 controladores de domínio Samba4 em nosso escritório principal e em todos os sites remotos há cerca de 3 anos.
Configuração atual simplificada:
Nesta configuração, configuramos os servidores BIND internos para que o DNS interno do S4 AD DCs seja autoritativo para ad.companyname.com, para que os clientes conectados aos servidores BIND possam resolver qualquer coisa que o Samba precise deles. Isso permite que todas as máquinas clientes na LAN resolvam qualquer endereço DNS dinâmico que o AD crie, ingresse no domínio etc. e seja fácil de configurar ao provisionar novos DCs. (Isso é importante com tantos CDs).
Quando provisionamos servidores que estão vinculados ao domínio, os clientes os acessam por meio de entradas DNS configuradas nos servidores DNS principais do BIND, para que eles tenham endereços como hostname.companyname.com, que os clientes usam para se conectar aos servidores / serviços. Eles também têm nomes de host ad.companyname.com criados pelo DNS interno do S4, mas não apontamos clientes com esses nomes.
O problema:
Alguns serviços (principalmente o servidor do OS X que notamos até agora) quando vinculados à AD não parecem gostar de ter os clientes apontados para um nome DNS diferente do subdomínio do samba. Por exemplo:
OS X 10.11 (também experimentado 10.6) Servidor, ligado ao AD, executando o servidor de arquivos SMB:
Outro exemplo:
OS X Server 10.11, ligado ao AD, executando o Profile Manager:
Notas:
No primeiro exemplo, uma solução é simplesmente apontar os clientes em fileserver.ad.companyname.com, mas o gerenciamento é resistente a essa ideia. No segundo exemplo para o MDM do gerenciador de perfil, o servidor reside na DMZ para que os clientes fora do campus ainda se conectem ao MDM e ele tenha entradas DNS internas e externas, portanto, ter um endereço ad.companyname.com voltado para o público não é uma ótima opção.
Perguntas: