問題:
請大家幫忙解答.謝謝
我的看法是這樣:
微軟從 Active Directory 開始, 就已經將原本的 Microsoft Domain, 整合到 Internet Domain 去了, 所以 AD Domain 本來就可以跟 Internet Domain 有相同的名稱.
DC 上面的 DNS 很特殊, 也很重要, 雖然跟一般 Internet 使用的 Primary/Secondary/Cache DNS 很類似, 但她還擔負了一個 AD 整合的任務, 尤其是 AD 環境中會用到的 RFC 2782 規範, 在這裡用得很頻繁; 但一般 Internet DNS 為了降低被攻擊的機會, 幾乎都把 RFC 2782 相關的 record 給關閉.
因此, 把 AD 專用的 DNS 暴露到 Internet 上去, 是非常危險的作法. 因為外界可以由此查知你內部的 AD 架構, 甚至可以藉由攻破這台 DNS, 而取得更多的資訊來進行更深入的攻擊.
因此, 在微軟的 AD 環境中, 通常都會架設兩台 DNS, 一台只對內服務, 一台只對外服務. 對內服務的就與 AD 的 DC 主機整合, 內部用戶通通用這台 DNS 來解析; 對外服務的, 必須另外找一台沒有擔任 DC 任務的主機來架設, 只供 Internet 查詢, 而且其中的每一筆 record 都是以人工輸入管理, 不會依賴 AD 的自動更新機制去更改. 通常某些防火牆上面內建的 DNS Server 就可以拿來擔任這樣的工作.
回到您的問題, 微軟在設計的趨勢上, 本來就希望 AD Domain 是跟 Internet Domain 相同, 所以您不需要變更. 但 AD 的 DNS 直接對外太危險, 最好拆成內外兩台來處理.
此外, 任何一台 DC 主機上面, 都不建議安裝其他的應用服務, 例如: Web, Mail, DB...等等, 這台主機, 只要單純提供 AD DS 相關的服務就好. 有其他服務需求, 請另行安裝獨立伺服器來提供.
好感謝你的解答, 給我清楚了解.
我有問題想問, 內服務 AD DNS 的主機, 他 FQDN 的 domain name 跟 Internet 是相同, 會不會造成內外衝撞問題嗎? 假如使用者電腦加入 domain 時, 他會不會當作 Internet domain, 造成加入不到嗎?
我試過使用 outlook 在 pop3 位置上打上 pop3.domainname.com 時, 他不給我接收郵件, 他認了我內服務的 AD DNS 名稱, 無法使用 domain name來設定, 是不是只可以打 IP address 來設定 pop3? 還是我設定錯誤?
我架設了 web server, 也設定了 www record, 但在 Internet Explorer時 沒打上 3個 www 他說找不到網站, 有打上 http://www.domainname.com 就可以去到, 這我錯在那地方呢?
請大大指教, 謝謝.
在以上的情境中, 用戶端有一件事情一定要確認: DNS 設定必須指向內部的 DNS Server. 如果用戶端要設定多個 DNS 備援, 每一個設定也都要指向內部的 不同 DNS Server, 不要有些指向內部, 有些指向外部. 只要做到這點, 用戶端就不會有混淆的問題.
自己設定 POP3 和 WWW 都沒有問題, 請參考以下某網域的設定畫面, 先看對外的 DNS 設定:
然後再對照一下, 內部的 DNS 設定:
如果您在解析名稱方面有問題的話, 第一個先查: 用戶端的 DNS 設定是否指向正確的 Server? 然後可以用 nslookup 工具來檢查看看, 是哪一台 DNS 出了問題?
好感謝你很專業的教導, 我想問如果用 server 2008 R2 virtual, 起多一台對外的DNS SERVER, 請問有沒有問題呢?
1、AD的域名和對外的域名可以一樣,但是DNS Server要分開!
2、內部的電腦在設定IP或是DHCP時,需要把第一個DNS指定到AD的DNS!
3、在設定外部服務,例如WWW或是郵件時,記得AD和對外的DNS Server都要設定!
4、除了可以設定A記錄以外,域名本身也可以給個IP,通常為了方便,會指定成WWW或是Mail Server的IP。
上面這些都是蠻基本的DNS觀念,不懂的話,建議去書局找本書來看看,或是上鳥哥的網站拜讀一下。
早期的做法~
會用Internet申請的Domain Name當成公司AD Domain的網域域名~
由於Windwos 2000以後的AD網域必需依賴DNS,
因此若是直接採用與Internet所申請的Domain Name相同的AD網域名稱,
則為了避免解析錯誤及安全性的理由(避免外部可解析出內部的主機IP),
一般會將DNS SERVER分開,
內部AD用的DNS就由DC主機來負責,
而外部則會再架一台獨立的DNS SERVER,
或是放在公司的WEB SERVER / MAIL SERVER上,
以供Internet USER查詢使用。
也因此,後來就會建議,
內部AD網域的域名不要與Internet申請的域名一致,
這樣會減少很多架構上的問題。