Acesse o RDS internamente com o mesmo nome de domínio que o externo

1

Eu tenho uma configuração de rede com um domínio do AD de 2008 R2 chamado internal.domain.org. Nosso site hospedado externamente usa www.domain.org e domain.org. Eu gostaria que os usuários pudessem acessar nosso servidor RDS - machinename.internal.domain.org - usando o mesmo nome de domínio, dentro ou fora da LAN. Isso seria remote.domain.org. De fora é bastante fácil, mas por dentro estou perdido. Tentando dividir o DNS, é fácil obter o remote.domain.org na máquina RDS interna, mas ele quebra o acesso ao site externo de dentro da LAN.

O problema parece ser que quando eu crio uma Zona de Pesquisa Direta chamada domain.org, surge uma subpasta chamada interna, em vez do conjunto normal de pastas. Eu adiciono registros para * e www, mas não consigo ir para o exterior. Eu estou fora do meu alcance aqui. Alguma idéia?

Obrigado,

    
por Ron Lee 14.03.2015 / 03:09

1 resposta

1

Use o DNS dividido (split horizon), mas não em um servidor executando o software da Microsoft - ele não funciona.

Em seu recursor de DNS local / cacher, normalmente é possível criar uma substituição específica para um FQDN mapear para um IP diferente. Isso adiciona exatamente um IC ao seu CMDB e não é incomum nem complexo.

Dependendo da sua configuração, você normalmente faz isso em seu sistema de gateway de rede. Por exemplo, no pfSense, isso pode ser feito usando a GUI em Serviços - > Servidor DNS na parte inferior. Como você não postou o que está usando, não posso dar um exemplo para o seu sistema.

Elaborando minha resposta:

Este é um caso exato de porque o DNS de split-horizon funciona e é necessário. Se você tem vários pontos de entrada para um serviço que exigem IPs diferentes para acessá-lo, e você está usando um FQDN para acessá-lo, o DNS é exatamente como isso é resolvido.

Normalmente, há três casos muito comuns em que, dependendo dos locais em que sua equipe trabalha, vêm para a equipe:

  • RDS local na LAN em que o RDS está realmente acessível
  • RDS via WAN, que requer que o IP da WAN seja usado (que, por sua vez, NATs para o IP da LAN para o RDS)
  • RDS via VPN, onde a VPN vive em sua própria sub-rede e pode ou não ter acesso à LAN

Às vezes, onde há várias conexões VPN ou túneis, o que pode complicar ainda mais as coisas. Em muitos casos, isso pode ser resolvido com roteamento e firewall, mas isso cria muitos Itens de Configuração que o seu CMDB simplesmente será inundado de absurdos sempre que você precisar configurar um serviço para ser acessado em vários locais.

Em muitas configurações, a zona para a qual o servidor Windows precisa ter autorização pode simplesmente ser configurada no roteador principal, no gateway ou no servidor DNS, para que você possa ter um único ponto de configuração de alto desempenho para todo o seu DNS. necessidades. A única desvantagem é que, se as transferências de zona ou atualizações de DNS remotas forem necessárias para o servidor DNS padrão pelos clientes, não funcionará mais. Este, no entanto, geralmente não é mais o caso nas configurações cliente-servidor.

A maneira como o DNS dividido funciona nesse caso é simplesmente isso:

  • O DNS público contém o registro A para conexões WAN
  • O DNS interno mantém uma substituição Um registro para o FQDN específico (remote.example.com)

Como apenas dois registros DNS diferentes são necessários (público e LAN), isso é fácil e confiável de ser configurado. Não há necessidade de visualizações como o BIND, ou a implementação de visualizações do PowerDNS ou Unbound com suporte para regravação. Views e Split-DNS não são implementados no DNS da Microsoft, é por isso que não é uma opção neste caso. (Veja link para uma comparação)

Em uma segunda nota: se você tiver o pfSense, você pode simplesmente criar um L2TP sobre um túnel IPSec ou OpenVPN para que as pessoas possam ter acesso remoto. Embora exija a instalação de software no sistema do cliente, elimina a necessidade de um RDS acessível por WAN.

    
por 14.03.2015 / 04:54