Вопрос: Active Directory: требуется ли, чтобы запись «A» для домена указывала на контроллер домена?


В настоящее время у нас есть настройка Active Directory и говорят, что это имя example.com. В записях DNS для example.com есть две записи A, указывающие на два контроллера домена. Я хотел бы, чтобы внутренние пользователи имели доступ к нашему сайту, используя http://example.com/   но мы не запускаем сайт с контроллеров домена, и я не хочу устанавливать IIS или какую-либо другую услугу, просто перенаправляя на www.example.com.

Если я правильно понял, я должен был бы удалить эти записи и добавить новую запись A, указывающую на IP-адрес веб-сервера, и все не сломается, поскольку клиенты обычно используют записи SRV для поиска контроллеров домена и еще чего-то.

Это верно? Я не хочу приводить к отключению, это причина, по которой я спрашиваю, прежде чем просто изменить ее. :)


10
2018-06-25 16:08


Источник


Конечно, если вы были бы счастливы использовать domain.com проблема уходит (если у вас нет сервера под названием «www»). - John Rennie


Ответы:


Вы узнаете, почему вы не должны использовать одно и то же имя домена для своего Active Directory, как вы используете для внешнего присутствия в Интернете.

Записи «A» для домена, относящиеся к контроллерам домена, используются для того, чтобы DFS разрешала имя домена контроллеру домена (в первую очередь для клиентских компьютеров для доступа к SYSVOL). Если вы удалите эти записи «A», вы увидите, как разброс групповой политики, среди прочего.

Если вы не можете переименовать домен AD, я думаю, что вы заложили IIS (или какой-либо другой HTTP-сервер) в эти поля, чтобы перенаправить клиентские компьютеры на правильный хост.

Вот почему я называю свои домены AD «ad.domain.com». Прежде чем создавать зону DNS на частном DNS-сервере, вам необходимо иметь действительно хорошую причину, которая соответствует зоне, в которой Интернет уже имеет авторитетные DNS-серверы. Вы сделали это и добавили Active Directory в микс.


17
2018-06-25 16:12





Необходимо, чтобы эти записи A указывали на контроллеры домена. Они необходимы для DFS (SYSVOL, доступ к Netlogon) и репликации. В этом случае вы можете жить опасно и использовать какой-либо инструмент перенаправления или жить, попросив пользователей набрать www.domain.com. Вы можете облегчить их боль, сделав запись фаворита в домене в IE или сделав для этого домашнюю страницу. Поэтому они должны вводить его редко.


3
2018-06-26 18:36





Это эквивалент Active Directory для размещения оружия на ваших серверах и триггера триггера.

Если записи были созданы AD, тогда не возиться с ними. Вы будете сожалеть об этом.


1
2018-06-25 16:12



Это немного экстремально. Вы всегда можете сделать «net stop netlogon» / «net start netlogon», чтобы переписать эти записи. - Evan Anderson
Это приятный визуальный, хотя! - squillman


Вы можете решить свою проблему, развернув для них собственный файл хоста (/ system32 / drivers / hosts) в качестве быстрого исправления, я бы не стал комментировать записи активных записей dns.


0
2018-06-25 16:16



Никакое решение, включающее «файлы хостов», не должно считаться хорошей идеей, ИМО. Сказав это, если бы вы сделали это, вы нарушили бы доступ к домену SYSVOL с этих клиентских компьютеров. - Evan Anderson
Думаю, мне следовало бы лучше прочитать этот вопрос. Благодарю. - Maxwell


Если вы хотите, чтобы ваши пользователи попали на вашу веб-страницу, просто создайте новое имя хоста в своем диспетчере DNS (не Active Directory), называемом www, и укажите его на внешний веб-хост. Готово. то пользователям просто нужно набрать www.yourdomain в своем браузере.

Бит поздно для вас, я соглашаюсь, но могу помочь другим.


0
2018-01-19 03:57