DNS integrado do Active Directory - resolução pública

Question

DNS integrado do Active Directory - resolução pública

#1 resposta do (1 votos)

2

apenas começando aqui. Tentei pesquisar os resultados mais relevantes e não encontrei exatamente o que estou procurando.

Primeiro, estou usando um Active Directory que criei para um projeto de jogo privado e ia usá-lo mais do que eu, integrando-o aos sistemas de ferramentas que meus desenvolvedores usam.

Assim, decidi colocar minhas zonas DNS no Active Directory para que pudessem gerenciar e replicar. Obviamente, não desejo expor meus controladores de domínio à Internet, já que é uma prática ruim. No entanto, quero poder usar este serviço, se for possível.

O problema é que, quando executo verificações em algumas de nossas zonas DNS públicas, elas resolvem de dois dos meus outros servidores que são cópias secundárias do DNS Integrado do AD. No entanto, minhas verificações SOA e Nameserver falham porque os controladores de domínio estão inacessíveis para o público, e eles são listados como Nameservers e SOA para essas zonas, já que são ADI.

A minha pergunta é essencialmente isto, existe uma maneira de fazer o que estou a tentar fazer, que é hospedar estas zonas nos meus controladores de domínio e ter as cópias secundárias disponíveis e ainda satisfazer as verificações do público num cofre maneira? Eu estou tentando descobrir se minha única opção será realocar essas zonas DNS para uma fonte externa do meu host virtual que é publicamente acessível em todos os momentos.

active-directory domain-name-system

por Kyp 15.10.2017 / 07:12

1 resposta

Tags active-directory domain-name-system

O ExecStop é executado ao emitir systemctl restart myUnit? QNAP-NAS / git clone no compartilhamento NFS não funciona

score 1 · Accepted Answer

Depois de remover todas as informações secundárias estranhas, acho que o seu problema é essencialmente:

Is it required that the public can resolve and/or access the master name server (MNAME) used in the SOA record for my domains?

Eu acho, mas não posso apoiá-lo facilmente nas RFCs, que a resposta a essa pergunta é Não.

AFAIK, o único requisito é que o servidor MNAME responda de maneira autoritária para esse domínio, mas não há exigência de que isso seja feito para a Internet em geral.

Se você não conseguir usar uma verificação on-line para determinar se todos os seus servidores de nome retornam dados consistentes e idênticos.