O único site do AD precisa de registros DNS alternativos para dois hosts no DNS integrado do AD

Navegue suas respostas
2

Temos 6 sites de AD diferentes, todos conectados por túneis IPSec em uma malha completa, além de um escritório que não pode se conectar ao nosso data center por motivos estúpidos relacionados ao ISP que não podem ser corrigidos atualmente. Temos DNS integrado ao AD e há dois servidores da Web, com IPs públicos, que replicam o endereço interno em nossos sites do AD e são acessados por meio dos túneis IPSec. Como esses dois servidores estão em nosso DC, o site que não pode se conectar ao DC não pode acessar esses dois sites.

Precisamos replicar o resto do nosso DNS do AD para este site, portanto, remover a replicação não é uma opção. Esses sites também estão no DNS do nosso domínio principal, e atualizá-los para usar um nome alternativo ou o sufixo de domínio alternativo não é uma opção viável, pois interromperá os links para esse escritório.

Existe uma maneira de fazer este site usar registros DNS alternativos e não replicá-los em todo o AD?

A minha melhor opção para o GPO é que todos os computadores cliente / servidor nesse site adicionem o IP público desses dois hosts ao arquivo de hosts locais?

Isso não precisa ser uma solução permanente e elegante, pois estaremos mudando os provedores em breve (ish). Eu só preciso de algo que seja estável e confiável para este escritório para o futuro a médio prazo.

Para esclarecer: Toronto e Nova York podem conversar com Tóquio, entre si e com o data center. Tóquio pode falar com Toronto e Nova York, mas não com o data center. Temos recursos em cada site, bem como replicação do AD, que precisam ser acessados de todos os outros sites.

Dois desses recursos estão em nosso datacenter e têm IPs públicos, além de IPs internos, e usam o mesmo nome de host internamente e externamente. Esse nome de host é integrado ao nosso DNS do Active Directory. Todos os acessos de Nova York e Toronto a esses sites são feitos por meio dos endereços IP internos.

Precisamos de Tóquio para acessar esses dois hosts por meio de seu IP público, não por meio do IP interno. Não podemos usar diferentes nomes de host, pois esses sites são strongmente integrados em nossos outros aplicativos, comunicações etc.

    
por RobbieCrash 09.09.2015 / 20:18

2 respostas

2

Se eu estou entendendo sua pergunta corretamente, você precisa de dois servidores DNS em dois locais diferentes para responder a mesma consulta com duas respostas diferentes, cada uma específica para a sua localização; esse registro está localizado em uma zona integrada ao AD que é replicada em ambos os servidores DNS e você deseja desativar a replicação somente para esse registro, para que possa distribuir respostas diferentes de servidores diferentes.

Se esse for o caso, sua solução é criar um subdomínio em vez de um registro A e configurá-lo como uma zona primária em ambos os servidores, sem integração do AD; em seguida, em cada zona, crie um registro sem nome apontando para o endereço IP correto; um registro sem nome responde a solicitações para o nome da zona, portanto, será efetivamente equivalente a um registro A na zona de nível superior.

Exemplo:

Seu domínio é domain.local ; esta é uma zona integrada ao AD.
Seu DC / DNS no Site 1 é chamado DC1. Seu DC / DNS no Site 2 é chamado DC2. Seu registro é server.domain.local ; você precisa apontar para 10.20.30.40 se solicitado ao DC1, mas você precisa apontar para 192.168.90.42 se solicitado ao DC2.

  • Crie uma zona primária padrão no DC1 para o (sub) domínio server.domain.local ; então, nessa zona, crie um registro A sem nome apontando para 10.20.30.40.
  • Crie uma zona primária padrão no DC2 para o (sub) domínio server.domain.local ; então, nesta zona, crie um registro A sem nome apontando para 192.168.90.42.

Dessa forma, quando o DC1 for solicitado para server.domain.local , ele responderá com 10.20.30.40; se a mesma consulta for feita ao DC2, ele responderá com 192.168.90.42.

    
por 09.09.2015 / 20:36
0

Você pode fazer o seguinte:

  1. Crie uma nova partição de diretório de aplicativos DNS .
  2. Limite o escopo de replicação da Partição do Aplicativo apenas para os DCs que precisam da substituição.
  3. Crie uma nova zona de pesquisa direta na nova partição do aplicativo.
  4. Crie um registro em branco em a zona para o override .

Honestamente, nunca tive que fazer isso, mas parece ser o caminho para buscar o que você especificamente pediu. Teste isso.

Claro, isso é um pouco hacky. Você pode postar um diagrama ou algo parecido? Tenho a sensação de que existe uma resposta mais simples.

    
por 09.09.2015 / 20:40

Tags

meu certificado ssl só funciona com 'www.example.com' e não com 'example.com' HP ML350 G5 146gb Opções de atualização de HDD SAS de 3,5 "