Como combinar o Active Directory com o DNS Split-Horizon?

3

Estou em um dilema.

Eu preciso implementar o DNS do Split-Horizon no meu escritório com base na sub-rede . Por exemplo:

  • Os usuários em 10.170.0.0/16 precisam resolver "srv01.extra.company.com" para 10.170.0.5 10.25.0.170
  • Os usuários em 10.180.0.0/16 precisam resolver "srv01.extra.company.com" para 10.180.0.5 10.25.0.180
  • Outros em 10.0.0.0/8 precisam resolver "srv01.extra.company.com" para 10.25.0.5

Agora, isso é fácil de implementar usando o BIND. Infelizmente, minha rede é baseada no Active Directory; Eu não posso alterar os servidores DNS de todas as estações de trabalho para apenas apontar para o servidor BIND, posso? Eles precisam estar apontando para controladores de domínio.

Eu estava brincando com a ideia de usar zonas de stub ou encaminhadores condicionais , mas com base em meu entendimento, esses métodos farão com que os controladores de domínio executem a resolução de DNS em vez de ter as estações de trabalho em contato com os servidores de nomes relevantes.

O que você pode sugerir para ajudar a resolver esse problema de horizonte dividido?

Informações adicionais:

  • O FQDN do AD é, na verdade, id.company.com , não company.com.
  • Cometi um erro nos endereços IP acima. Corrigido.
por pepoluan 18.02.2014 / 08:48

3 respostas

5

Você quase conseguiu sua solução sozinho.

Estou assumindo que srv01.extra.company.com é um servidor em sua própria empresa, então seus servidores de nomes são responsáveis por isso.

Você está certo de que não pode usar zonas de stub nem encaminhadores condicionais, já que o servidor de nomes configurado para essa finalidade só verá as consultas originadas pelos seus DCs do AD. 1

Mas é um equívoco comum que o Active Directory tenha definido os DCs como servidores de nomes, ou que os clientes precisam resolver através dos DC's . 2

Neste caso em particular, você precisa configurar um BIND adequado que resolva tudo ( que inclui seu AD! ). Depois de verificar a operação correta, você adicionaria uma zona extra.company.com a esse servidor (mascarando efetivamente o subdomínio real). Lá, você pode substituir os registros ao seu gosto.

Observe, no entanto, que quando este BIND passar, seu AD inteiro será interrompido , já que todas as consultas dos seus clientes passam por esse servidor. Então, configure de acordo (failover, backup, standby, et al).

1 Tecnicamente, isso não vale para todos os casos: Se o resolvedor do cliente é capaz de seguir as referências, o servidor de nomes autoritativo veria a consulta originada do cliente. No entanto, como quase todos os resolvedores de SO são resolvedores de stub, isso não se aplica realmente.

2 Você pode definir com segurança até mesmo o NS autoritativo do seu AD para o servidor BIND, mas com certeza não é uma solução para ignorar e esquecer, ele precisa de algum trabalhos; por exemplo, adicionando registros específicos e permitindo que seus DCs os atualizem. Microsoft tem isso bem documentado, consulte este artigo no Technet da Microsoft para começar. Eu geralmente evito tudo isso e, em vez disso, tenho company.com servido por um BIND e delego um subdomínio ad.company.com ao AD. Eu não acho que valha a pena fazer isso em um AD existente, como no seu caso.

    
por 18.02.2014 / 10:26
2

Se você quiser ficar com o DNS do Windows, o recurso que pode ajudá-lo é chamado Ordenação de máscara de rede com Round Robin. Quando você configura vários registros A para o mesmo host, o DNS retornará resultados com prioridade com base no endereço IP do cliente e na sub-rede. Você pode definir que parte da máscara de endereço é usada para a ordenação de máscara de rede e, como no seu caso é / 16, você também precisa substituir o valor padrão (que é / 24) por

Dnscmd /Config /LocalNetPriorityNetMask 0x0000FFFF

Infelizmente, isso cobrirá apenas os dois primeiros casos do seu exemplo, o terceiro será complicado, pois somente os clientes de 10.25.x.x corresponderão à máscara do host.

    
por 18.02.2014 / 10:31
1

Se o DNS é sua única maneira de fazer isso, então acho que sua única opção real aqui é usar modos de exibição do BIND.

As estações de trabalho do AD podem apontar diretamente para o BIND, contanto que o BIND encaminhe todas as solicitações do domínio do AD para os servidores DNS do AD para serem resolvidas. Na verdade, fazemos isso na organização muito grande para a qual trabalho e tudo funciona bem (atualizações dinâmicas, etc., incluídas).

Quais serviços esses servidores estão executando? Se eles são HTTP você poderia usar algo como redirecionamentos HTTP para devolver o usuário ao seu servidor local, em vez de usar a divisão de DNS?

    
por 18.02.2014 / 10:20