Active Directory: É necessário que o registro "A" de um domínio aponte para um Controlador de Domínio?

10

Atualmente, temos uma configuração do Active Directory e dizemos que o nome é 'example.com'. As entradas DNS de exemplo.com têm dois registros A apontando para os dois controladores de domínio. Gostaria que os usuários internos pudessem acessar nosso site usando http://example.com/ , mas não executamos o site fora dos controladores de domínio e não quero instalar o IIS ou outro serviço apenas um redirecionamento para www.example.com.

Se eu entendi corretamente, devo poder excluir essas entradas e adicionar um novo registro A apontando para o IP do servidor da Web e as coisas não serão interrompidas, pois os clientes geralmente usam os registros SRV para localizar controladores de domínio e outros enfeites.

Isso está correto? Eu não quero causar uma interrupção é a razão pela qual estou perguntando antes de mudar. :)

domain-name-system active-directory Jeff Puckett
fonte
1
Obviamente, se você gostaria de usar domain.com, o problema desaparecerá (a menos que você tenha um servidor chamado "www").
John Rennie

Respostas:

17

Você está aprendendo por que não deve usar o mesmo nome de domínio para o Active Directory que está usando para sua presença externa na Internet.

Os registros "A" para o domínio referente aos controladores de domínio são usados ​​pelo DFS para resolver o nome do domínio em um controlador de domínio (principalmente para computadores clientes acessarem o SYSVOL). Se você excluir esses registros "A", verá uma quebra na política de grupo, entre outras coisas.

Se você não pode renomear o domínio do AD, acho que está preso colocando o IIS (ou algum outro servidor HTTP) nessas caixas para redirecionar os computadores clientes para o host correto.

É por isso que nomeio meus domínios do AD "ad.domain.com". Você deve ter um motivo muito, muito bom antes de criar uma zona DNS em um servidor DNS privado que corresponda a uma zona para a qual a Internet já possui servidores DNS autoritativos. Você fez isso e adicionou o Active Directory à mistura.

Evan Anderson
fonte
3

É necessário que esses registros A aponte para controladores de domínio. Eles são obrigatórios para DFS (SYSVOL, acesso Netlogon) e replicação. Nesse caso, você pode viver perigosamente e usar alguma ferramenta de redirecionamento ou pedir aos usuários que digitem www.domain.com. Você pode aliviar a dor de alguma maneira criando uma entrada favorita para domínio no IE ou criando essa página inicial para eles. Então eles têm que digitar raramente.

KAPes
fonte
1

É o equivalente ao Active Directory de colocar uma arma nos servidores e acionar o gatilho várias vezes.

Se as entradas foram criadas pelo AD, não mexa com elas. Você vai se arrepender disso.

Avery Payne
fonte
1
Isso é um pouco extremo. Você sempre pode fazer um "net stop netlogon" / "net start netlogon" para obter esses registros registrados novamente.
Evan Anderson
2
É um visual gratificante, no entanto!
squillman
0

Para resolver seu problema, implantando um arquivo host personalizado (/ system32 / drivers / hosts) neles como uma solução rápida, não recomendo mexer nas entradas DNS do Active Directory.

Maxwell
fonte
4
Nenhuma solução envolvendo "arquivos hosts" deve ser considerada uma boa idéia, IMO. Dito isto, se você fizer isso, interromperá o acesso ao domínio SYSVOL a partir desses computadores clientes.
Evan Anderson
Acho que eu deveria ter lido melhor esta pergunta. obrigado.
22630 Maxwell
0

Se você deseja que seus usuários acessem sua página da web, basta criar um novo nome de host no seu Gerenciador DNS (não o Active Directory) chamado www e apontar para seu host externo. Feito. então os usuários precisam digitar www.seudominio no navegador.

Um pouco tarde para você, eu reconheço, mas pode ajudar os outros.

magilla
fonte