請教與Active Directory相關的問題
我這邊的單位約有10部電腦。
假設整個組織是a.tw。而弊單位有兩部對外的網頁伺服器,分別是g.a.tw、r.a.tw。
整個組織並無統一管理的AD。
若我現在想建立一個單位下的AD來管理帳號及電腦,且AD的主要DC不會使用上述兩部網頁伺服器的話,在命名上是否就應該避免使用g.a.tw或r.a.tw?
因為我在網路上看到的討論是會造成AD在查找時會有找不到的問題。或是必須在DC也安裝網頁伺服器,並將網頁服務導向g.a.tw或r.a.tw。
若我再向上層的Public DNS申請一個ad.a.tw,將AD命名為ad.a.tw並請Public DNS將ad.a.tw導向AD的主要DC這是不是一個好方法?
但如果主要的DC停擺,備援DC掌管AD時,會不會因ad.a.tw在Public DNS沒有導向備援DC而造成問題?
另外也有人使用a.local這樣的命名方式。因為local是無效的TLD,所以不用擔心與實際存在的網址或網域產生衝突。但有人說這樣是最糟糕的方法,卻沒有解釋原因。將AD命名為一個不存在的網域會有什麼問題嗎?或如果我將AD直接命名為g_a會有什麼壞處?
謝謝
已邀請的邦友 {{ invite_list.length }}/5
這裡有一篇討論,提到蠻多細節的
維基也寫出了使用的話有哪些問題點
https://en.m.wikipedia.org/wiki/.local
然後你有個觀點是錯誤的,地端的 AD DS 的備援機制,
與他有沒有使用公開的DNS域名完全沒關係,再來是,為了安全,
為了隔離驗證,你有心處理技術問題的話,使用.local當域名是沒問題的
請自己評估是否有使用.local當作域名的必要
微軟建議 ADDS 與公開域名分離的原因是,微軟有自己的架構與技術
你在 ADDS 的服務運作的狀態下,你任何加入網域的 Windows 設備
你的 DNSClient 只能是 AD 提供的 DNS,微軟有自己的黑科技在裡面
你不指定 DNSClient,是你的 ADDS 的話,所有的技術細節請自己慢慢玩
其次是當你有服務在外網並需要 DNS 服務時,因為你與地端的域名相同
你需要在外部 DNS 上新增紀錄,同時也要在地端的 ADDS 上新增紀錄
在 ADDS 的架構下,你無法在 ADDS 的上游 DNS 轉寄查詢自己的域名
自己的域名只能自己處理這是 ADDS 的規則 ,一筆紀錄卻要維護兩個地方
如果你不嫌麻煩的話,你可以將 ADDS 的域名與外部域名相同
忘了回答網頁伺服器的問題,網域控制站名稱不可以跟任何其他主機同名,
你只需要在 ADDS 上面,新增兩個網頁伺服器的 DNS 紀錄即可
AD Server一般是作為內部使用,所以建議您網域名稱的部份就直接用a.tw,主機名機不要和現有的重覆即可,也不需要向上層的Public DNS申請ad.a.tw域名,因為AD提供內部使用,不需要有對外IP給外部存取。
建立AD時,會要求提供有一個DNS Server(通常我們會直接建立在第一台DC上),這個DNS是給您們內部使用的,記錄的也都是內部IP為主,跟您現有對外的DNS沒有太大的關係,例如您提到的g.a.tw、r.a.tw這兩台網頁主機,在外部DNS設的一定是對外IP,在AD的DNS上則會設內部IP,這樣內部員工存取這兩台主機就不用繞到防火牆再繞回來(當然如果這兩台網頁主機有比較高的資安需求,可在Client端在Server Farm中間加一台防火牆)。這就??窮嘶?????大在問題下討論中提到的"DNS紀錄內外有別"
iThome鐵人賽
看影片追技術