Active Directory: требуется ли, чтобы запись «A» для домена указывала на контроллер домена?

10

В настоящее время у нас есть настройка Active Directory, и говорят, что имя «example.com». Записи DNS для example.com имеют две записи A, указывающие на два контроллера домена. Я хотел бы, чтобы внутренние пользователи могли получить доступ к нашему веб-сайту с помощью http://example.com/, но мы не запускаем сайт с контроллеров домена и не хочу устанавливать IIS или какой-либо другой сервис просто так перенаправление на www.example.com.

Если я правильно понимаю, я смогу удалить эти записи и добавить новую запись A, указывающую на IP веб-сервера, и все не сломается, так как клиенты обычно используют записи SRV для поиска контроллеров домена и тому подобного.

Это правильно? Я не хочу вызывать сбой - вот причина, по которой я спрашиваю, прежде чем просто изменить его. :)

domain-name-system active-directory Джефф Пукетт
источник
1
Конечно, если вы будете рады использовать domain.com, проблема исчезнет (если у вас нет сервера с именем «www»).
Джон Ренни

Ответы:

17

Вы узнаете, почему не следует использовать то же доменное имя для Active Directory, что и для внешнего присутствия в Интернете.

Записи «A» для домена, относящиеся к контроллерам домена, используются для DFS для разрешения имени домена для контроллера домена (главным образом для клиентских компьютеров для доступа к SYSVOL). Если вы удалите эти записи «А», вы увидите, среди прочего, разрыв групповой политики.

Если вы не можете переименовать домен AD, я думаю, что вы застряли, помещая IIS (или какой-либо другой HTTP-сервер) в эти поля, чтобы перенаправить клиентские компьютеры на нужный хост.

Вот почему я называю свои домены AD "ad.domain.com". У вас должна быть очень веская причина, прежде чем создавать DNS-зону на частном DNS-сервере, которая соответствует зоне, для которой в Интернете уже есть официальные DNS-серверы. Вы сделали это и добавили Active Directory в смесь.

Эван Андерсон
источник
3

Требуется, чтобы эти записи A указывали на контроллеры домена. Они необходимы для DFS (SYSVOL, Netlogon access) и репликации. В этом случае вы можете жить опасно и использовать какой-либо инструмент перенаправления или просто попросить пользователей ввести www.domain.com. Вы можете как-то облегчить их боль, сделав любимую запись для домена в IE или сделав эту домашнюю страницу для них. Таким образом, они должны печатать это редко.

Kapes
источник
1

Это эквивалент Active Directory для установки оружия на ваши серверы и многократного нажатия на курок.

Если записи были созданы AD, то не связывайтесь с ними. Ты пожалеешь об этом.

Эйвери Пэйн
источник
1
Это немного экстрим. Вы всегда можете сделать «net stop netlogon» / «net start netlogon», чтобы перерегистрировать эти записи.
Эван Андерсон
2
Это приятное зрелище!
squillman
0

Вы можете решить свою проблему, установив для них файл пользовательского хоста (/ system32 / drivers / hosts), чтобы быстро исправить это, я бы не рекомендовал возиться с записями DNS в активном каталоге.

максвелл
источник
4
ИМО, ни одно решение, включающее «файлы хостов», не следует считать хорошей идеей. Сказав это, если бы вы сделали это, вы бы заблокировали доступ к домену SYSVOL с этих клиентских компьютеров.
Эван Андерсон
Думаю, мне следовало бы лучше прочитать этот вопрос. Спасибо.
Максвелл
0

Если вы хотите, чтобы пользователи заходили на вашу веб-страницу, просто создайте новое имя хоста в диспетчере DNS (не Active Directory) с именем www и укажите его на внешнем веб-хосте. Выполнено. тогда пользователям просто нужно ввести www.yourdomain в своем браузере.

Я немного опоздал, но я могу помочь другим.

magilla
источник