Zwei verschiedene Domänen und Domänencontroller in einem Netzwerk

10

Ich versuche festzustellen, ob zwei Active Directory-Domänencontroller im selben Netzwerk, im selben Subnetz und mit zwei separaten Domänen ausgeführt werden können. Ich möchte nicht, dass diese beiden Domänencontroller ohnehin miteinander verbunden sind (Konten usw.), außer durch den Switch, über den ich sie verbinde.

Mein aktuelles Anliegen betrifft DNS - für mich ist dies das Hauptproblem. Da ich einen einzigen DHCP-Server habe, der das gesamte Netzwerk verwaltet, möchte ich einen Satz DNS-Server-IP-Adressen an alle Clients verteilen. Der DNS-Server von DomainA kann jedoch keine Anfragen für DomainB usw. beantworten.

Ich stelle mir vor, dass dies über Weiterleitungen behoben werden könnte - IE, ich könnte die IP-Adressen beider DNS-Server in meiner DHCP-Konfiguration festlegen und dann DomainA anweisen, Anforderungen für * .DomainB an DNS von DomainB weiterzuleiten und umgekehrt. Ich könnte auch eine einzelne Aggregation verwenden, die die Anforderungen ordnungsgemäß an die einzelnen Server weiterleitet.

Ich weiß jedoch nicht, ob dies funktionieren wird oder ob es eine bessere Option gibt. Wenn dies ein Unternehmensnetzwerk wäre, würde ich VLANs, mehrere DHCP-Server usw. einrichten. Ich suche jedoch nach Einfachheit (so viel Einfachheit, wie Sie mit einem Domänencontroller in Ihrem Haus erreichen können ...).

Der Grund für die Ausführung von zwei Domänencontrollern im selben Netzwerk? Ich leite ein Labor bei mir zu Hause und habe jetzt die Person, mit der ich zusammen lebe, davon überzeugt, einen eigenen Domänencontroller zu betreiben. Ich möchte jedoch aus Sicherheitsgründen alles getrennt halten.

Jede Unterstützung wird geschätzt.

BSchlinker
quelle

Antworten:

8

Die beiden Domänen stören sich nicht im selben Netzwerk. Es wird keine Vertrauensstellung zwischen ihnen hergestellt, es sei denn, Sie stellen manuell eine her.

Das DHCP-Problem ist ein gültiger Punkt, und Ihr potenzieller Fix ist korrekt. Sie können die DNS-Adresse einer Domain über DHCP verteilen und eine Weiterleitung verwenden, um den Namespace der anderen Domain aufzulösen. Eine alternative Lösung wäre, das Netzwerk für die Clients in einer der Domänen manuell zu konfigurieren und deren DNS manuell auf den richtigen Domänencontroller zu verweisen. Sie können den Client der anderen Domäne über DHCP arbeiten lassen.

Wir haben einige Subnetze, die für interne Tests verwendet werden und auf denen mehr als 5 verschiedene Domänen ausgeführt werden. Es gibt keine wirklichen Probleme.

Chris Thorpe
quelle
3

Ich hatte eine ziemlich lange Antwort darauf, warum Sie diesen Weg nicht gehen sollten, und dann las ich Ihre Frage noch einmal und sah den Teil, in dem Sie sagten, dass dies in Ihrem Haus ist. Hier ist meine überarbeitete Antwort:

Weisen Sie nur die DNS-Server einer Domain über DHCP zu. Richten Sie auf diesen DNS-Servern entweder bedingte Weiterleitungen für die andere Domäne ein oder erstellen Sie eine Stubzone für die andere Domäne.

Ich habe das nicht getan, also bin ich nicht 100% sicher, dass es funktionieren würde, aber ich kann mir keinen Grund vorstellen, warum es nicht funktionieren würde.

Joeqwerty
quelle
3

Ich habe dies gerade für ein Migrationsszenario beendet. Es hat funktioniert ... irgendwie.

Die Einschränkung, auf die Sie achten müssen, ist das Domainnamensuffix. Wenn Sie einen angeben, fällt es den Clients schwer, einige Hostnamen aufzulösen. Geben Sie also keine an. Auf diese Weise lösen die Clients Hostnamen basierend auf der Domäne auf, der sie beigetreten sind.

Abgesehen davon richten Sie einfach Ihre DNS-bedingten Weiterleitungen korrekt ein, und es sollte Ihnen gut gehen.

Jason Berg
quelle
Sie müssen die DNS-Suffixoption für den DHCP-Bereich nicht konfigurieren. Über DHCP nicht konfiguriert, sollten die DHCP-Clients das primäre DNS-Suffix aus ihrer Domänenmitgliedschaft verwenden. Tatsächlich gibt es in einer AD-Domäne keinen Grund, eine DNS-Suffixoption im DHCP-Bereich zu konfigurieren. Ich konfiguriere diese Option nur, wenn es sich um nicht domänenverbundene Clients handelt, für die eine gemeinsame DNS-Namensauflösung und DNS-Namensregistrierung erforderlich ist.
Joeqwerty
@joe - Ich scheine nicht in der Lage zu sein, meinen eigenen Beitrag zu -1, also habe ich ihn gerade korrigiert. Vielen Dank für Ihr Wissen und Ihren Beitrag.
Jason Berg
Froh, dass ich Helfen kann. +1 für die aktualisierte Antwort.
Joeqwerty
0

Ich empfehle, DNS-Dienste auf ein Linux-System zu verschieben. Windows-Domänen sind nicht dasselbe wie Internetdomänen, aber ich sehe, dass Clients dies ständig verwirren.

Und je weniger Ihre Windows-Umgebung dem Internet ausgesetzt ist, desto glücklicher sind Sie.

Ralph H.
quelle