Tentando ingressar em servidores (em rede VPN remota) para o Active Directory sem encaminhar todas as consultas DNS pelo túnel

Navegue suas respostas
1

Na nossa empresa, colocamos um datacenter local (onde hospedamos nossos servidores Web públicos) e uma VPN Site-to-Site configurada entre o coloc e o nosso escritório. Gostaríamos de nos unir aos servidores no datacenter para o nosso Active Directory.

Se bem entendi, a participação no domínio depende muito do DNS. Eu não gostaria de ter os servidores no datacenter resolver suas consultas DNS através do túnel para o nosso servidor DNS interno, pois isso diminuiria o desempenho da consulta DNS (e também nos casos em que o túnel está inativo).

É possível que os servidores resolvam todas as consultas DNS usando servidores DNS públicos (Google, ISPs, etc ...), exceto os que são internos à nossa empresa? Em vez disso, estes seriam encaminhados através do túnel para o nosso servidor DNS interno? Eu precisaria hospedar um servidor DNS no coloc para obter essa funcionalidade? Ou existe uma maneira mais simples de fazer isso?

Afinal de contas, esta é a solução correta de como eu deveria entrar em nossa rede de coloc para o nosso Active Directory?

    
por Christopher Demicoli 08.04.2015 / 08:30

2 respostas

0

Não recomendo juntar seus servidores da Web produtivos localizados no data center ao seu domínio do Active Directory site-local! Se o link estiver inativo ou a conexão com o seu escritório estiver ruim, você corre o risco de perder o acesso a esses servidores!

Você pode configurar o encaminhamento de DNS no servidor DNS do seu datacenter para o seu domínio do Active Directory local.

Por exemplo, digamos que seu domínio do Active Directory seja denominado example.local e o servidor DNS do Active Directory site-local tenha o endereço IP 192.168.0.10. Vá para o servidor DNS do seu datacenter e configure um encaminhador de DNS, por exemplo.local para 192.168.0.10.

Sempre que você direcionar um computador no domínio example.local, o servidor DNS do seu datacenter encaminhará a solicitação de DNS para o servidor DNS do Active Directory local.

Agora você poderá ingressar no domínio. Pode ser necessário configurar um sufixo de domínio , se você quiser omitir o nome de domínio e trabalhar apenas usando os nomes de host. Isso significa que você precisa pingar server1.example.local , client1.example.com e também ingressar em example.local e não apenas em ping server1 e server2 e junte-se exemplo .

    
por 08.04.2015 / 09:18
0

Este é o tipo de situação que os Controladores de domínio somente leitura são destinados para. Como é somente leitura, você teria que depender de seu DC local para ingressar no domínio, mas depois disso, o RODC poderia manipular logins para seus servidores de colo. Ele também lida com DNS somente leitura , mesmo quando o túnel desce.

Esse recurso requer o Server 2008 ou superior, com um nível funcional de domínio de 2003 ou superior. (Espero que isso não seja um problema, considerando que o Server 2003 está fora de suporte em julho.)

    
por 08.04.2015 / 21:40

Tags

Driver de filtro de rede de empilhamento de acesso direto antes de iphttpsinterface Por que o certificado e chave SSL do apache precisam estar em / etc / pki / tls / private /?