Active Directory: Ist es erforderlich, dass der A-Eintrag für eine Domäne auf einen Domänencontroller verweist?

10

Derzeit haben wir ein Active Directory-Setup und sagen, der Name ist 'example.com'. Die DNS-Einträge für example.com enthalten zwei A-Einträge, die auf die beiden Domänencontroller verweisen. Ich möchte, dass interne Benutzer über http://example.com/ auf unsere Website zugreifen können, aber wir führen die Site nicht über die Domänencontroller aus und ich möchte IIS oder einen anderen Dienst nicht nur für Aufgaben installieren eine Weiterleitung zu www.example.com.

Wenn ich das richtig verstehe, sollte ich in der Lage sein, diese Einträge zu löschen und einen neuen A-Eintrag hinzuzufügen, der auf die IP des Webservers verweist, und die Dinge werden nicht kaputt gehen, da Clients normalerweise die SRV-Einträge verwenden, um Domänencontroller und so weiter zu lokalisieren.

Ist das richtig? Ich möchte keinen Ausfall verursachen, ist der Grund, den ich frage, bevor ich ihn nur ändere. :) :)

domain-name-system active-directory Jeff Puckett
quelle
1
Wenn Sie gerne domain.com verwenden, verschwindet das Problem natürlich (es sei denn, Sie haben einen Server namens "www").
John Rennie

Antworten:

17

Sie erfahren, warum Sie für Ihr Active Directory nicht denselben Domänennamen verwenden sollten wie für Ihre externe Internetpräsenz.

Die "A" -Datensätze für die Domäne, die sich auf die Domänencontroller beziehen, werden für DFS verwendet, um den Namen der Domäne in einen Domänencontroller aufzulösen (hauptsächlich für Clientcomputer, um auf SYSVOL zuzugreifen). Wenn Sie diese "A" -Datensätze löschen, wird unter anderem ein Verstoß gegen Gruppenrichtlinien angezeigt.

Wenn Sie die AD-Domäne nicht umbenennen können, müssen Sie IIS (oder einen anderen HTTP-Server) auf diesen Feldern installieren, um Clientcomputer auf den richtigen Host umzuleiten.

Aus diesem Grund nenne ich meine AD-Domains "ad.domain.com". Sie sollten einen wirklich guten Grund haben, bevor Sie eine DNS-Zone auf einem privaten DNS-Server erstellen, die einer Zone entspricht, für die das Internet bereits autorisierende DNS-Server hat. Sie haben das getan und Active Directory zum Mix hinzugefügt.

Evan Anderson
quelle
3

Es ist erforderlich, dass diese A-Datensätze auf Domänencontroller verweisen. Sie sind ein Muss für DFS (SYSVOL, Netlogon-Zugriff) und Replikation. In diesem Fall können Sie gefährlich leben und ein Umleitungstool verwenden oder Benutzer bitten, www.domain.com einzugeben. Sie können ihre Schmerzen irgendwann lindern, indem Sie einen Favoriteneintrag für die Domain im IE erstellen oder diese Homepage für sie erstellen. Sie müssen es also selten eingeben.

KAPes
quelle
1

Dies ist das Active Directory-Äquivalent dazu, eine Waffe auf Ihre Server zu legen und mehrmals den Abzug zu betätigen.

Wenn die Einträge von AD erstellt wurden, sollten Sie sich nicht mit ihnen anlegen. Du wirst es bereuen.

Avery Payne
quelle
1
Das ist ein bisschen extrem. Sie können jederzeit eine "Net Stop Netlogon" / "Net Start Netlogon" durchführen, um diese Datensätze erneut zu registrieren.
Evan Anderson
2
Es ist jedoch ein erfreuliches Bild!
Squillman
0

Sie können Ihr Problem lösen, indem Sie eine benutzerdefinierte Hostdatei (/ system32 / drivers / hosts) als schnelle Lösung für sie bereitstellen. Ich würde nicht empfehlen, mit den DNS-Einträgen des Active Directory herumzuspielen.

Maxwell
quelle
4
Keine Lösung mit "Hosts-Dateien" sollte als gute Idee angesehen werden, IMO. Wenn Sie dies jedoch tun würden, würden Sie den Zugriff auf die Domäne SYSVOL von diesen Clientcomputern aus unterbrechen.
Evan Anderson
Ich denke, ich hätte diese Frage besser lesen sollen. Vielen Dank.
Maxwell
0

Wenn Ihre Benutzer zu Ihrer Webseite gelangen sollen, erstellen Sie einfach einen neuen Hostnamen in Ihrem DNS-Manager (nicht Active Directory) mit dem Namen www und verweisen Sie ihn auf Ihren externen Webhost. Erledigt. Dann müssen Benutzer nur noch www.IhreDomäne in ihren Browser eingeben.

Etwas spät für dich, denke ich, könnte aber anderen helfen.

Magilla
quelle