Como referenciar um controlador de domínio fora da rede local?

2

Temos vários servidores espalhados por diferentes provedores de hospedagem. Para fins de aprendizado, experimentação e, em última análise, produção, eu defini um deles como um controlador de domínio.

Isso foi bom, a maioria dos nossos serviços agora está se autenticando via AD, o que nos ajuda muito.

O que quero fazer agora é simplificar a autenticação dos vários servidores, fazendo com que cada um deles examine o Controlador de Domínio. Dessa forma, nossos desenvolvedores podem acessar (Remote Desktop) os vários servidores com as mesmas credenciais do AD.

Eu sei que tenho que configurar cada servidor para ver o controlador de domínio.

Mas quando tento adicionar o Controlador de Domínio ao Computador, ele não consegue encontrá-lo, embora o endereço do Controlador de Domínio seja um subdomínio válido da Internet (como em "ad.empresa.com").

Thisisthedetailederrormessage:

Note:Thisinformationisintendedforanetworkadministrator.Ifyouarenotyournetwork'sadministrator,notifytheadministratorthatyoureceivedthisinformation,whichhasbeenrecordedinthefileC:\Windows\debug\dcdiag.txt.

ThefollowingerroroccurredwhenDNSwasqueriedfortheservicelocation(SRV)resourcerecordusedtolocateanActiveDirectoryDomainControllerfordomainad.ourcompany.com:

Theerrorwas:"DNS name does not exist." (error code 0x0000232B RCODE_NAME_ERROR)

The query was for the SRV record for _ldap._tcp.dc._msdcs.ad.ourcompany.com

Common causes of this error include the following:

  • The DNS SRV records required to locate a AD DC for the domain are not registered in DNS. These records are registered with a DNS server automatically when a AD DC is added to a domain. They are updated by the AD DC at set intervals. This computer is configured to use DNS servers with the following IP addresses:

    109.188.207.9

    109.188.207.10

  • One or more of the following zones do not include delegation to its child zone:

    ad.ourcompany.com

    ourcompany.com com

    . (the root zone)

For information about correcting this problem, click Help.

O que estou perdendo?

Sou um Dev experiente, mas um novato Sysdamin está experimentando coisas novas.

Aviso de isenção

Todos os endereços IP e domínios / subdomínios foram alterados para preservar a segurança. Se por acaso você ainda puder ver informações privadas, por favor me avise para que eu possa alterá-lo.

    
por Adrian 29.08.2012 / 19:54

4 respostas

6

Pelo amor de Deus, não tenha controladores de domínio acessíveis pela Internet. Isso implora por uma catástrofe. Você precisa configurar VPNs de site para site entre seus sites e certificar-se de que sua sub-rede / subdomínio na qual o AD está localizado NÃO seja acessível a outros na Internet por meio de qualquer coisa, exceto uma VPN.

No IPv4, isso significa que seus controladores de domínio (e toda a sua rede interna também) devem ter um endereço roteado de forma privada como 10.x.x.x 192.168.x.x ou 172.16-31.x.x e não iniciar com um octeto roteado publicamente como 109 .

NÃO apenas faça buracos em seus firewalls para que isso funcione, por favor.

    
por 30.08.2012 / 05:36
5

A pista está na mensagem de erro, os servidores que você planeja ingressar no domínio precisam usar os servidores DNS que contêm sua zona DNS do AD como seus servidores DNS. Parece que eles estão usando alguns servidores DNS públicos, que, na minha opinião, não são os servidores DNS que contêm sua zona DNS do AD.

    
por 29.08.2012 / 20:00
0

joeqwerty está no local.

Para o pc ingressar no domínio, ele procura registros SRV. Se os clientes estiverem no mesmo local que o controlador de domínio, altere o DNS nos clientes para apontar para seu controlador de domínio, caso contrário, siga os detalhes abaixo.

Suponho que o anúncio no anúncio .nossaempresa.com é o nome do host do seu DC? Nesse caso, você deve tentar entrar no domínio sem colocar o anúncio. part - especifica o domínio apenas.

Parece que você só tem o registro A configurado para seu servidor. Primeiro, o PC cliente procura _ldap._tcp.dc._msdcs.ourcompany.com, que deve então apontar para ad.ourcompany.com. (ou yourdc.ad.ourcompany.com)

Se você criar este registro SRV acessível na Internet pública, isso deverá eliminar esse erro. Além disso, verifique o DNS em seu controlador de domínio para os outros registros SRV relevantes exigidos pela instalação do AD.

No entanto, por motivos de segurança, minha preferência seria configurar um servidor DNS local no (s) site (s) em que os PCs clientes estão baseados e que contêm os registros SRV relevantes, para que eles não estejam disponíveis para todos.

    
por 29.08.2012 / 20:14
-4

Remova todas as entradas do servidor DNS da sua configuração de rede IPv4. Em seguida, adicione seu endereço IPv4 do servidor DNS como o único. Também pode ser necessário limpar o dnscache.

    
por 20.12.2014 / 19:07