В нашей компании у нас есть coloc в локальном центре обработки данных (где мы размещаем наши общедоступные веб-серверы) и Site-to-Site VPN, установленная между coloc и нашим офисом. Мы хотели бы присоединить серверы в центре обработки данных к нашей Active Directory.
Если я правильно понимаю, присоединение к домену во многом зависит от DNS. Я не хотел бы, чтобы серверы в центре обработки данных разрешали свои DNS-запросы через туннель к нашему внутреннему DNS-серверу, поскольку это снизило бы производительность DNS-запросов (а также в тех случаях, когда туннель не работает).
Возможно ли, чтобы серверы разрешали все DNS-запросы с использованием общедоступных DNS-серверов (Google, ISP и т. Д.), Кроме тех, которые являются внутренними для нашей компании? Вместо этого они будут перенаправлены через туннель на наш внутренний DNS-сервер? Нужно ли мне размещать DNS-сервер в coloc для достижения этой функции? Или есть способ попроще?
В конце концов, является ли это правильным решением того, как мне присоединить нашу сеть coloc к нашей Active Directory?
Это такая ситуация, когда Контроллеры домена только для чтения предназначены для. Поскольку он предназначен только для чтения, вам придется зависеть от вашего локального контроллера домена для присоединения к домену, но после этого RODC может обрабатывать входы для ваших серверов colo. Он также справился бы только для чтения DNS, даже когда туннель обрушивается.
Для этой функции требуется Server 2008 или выше, с функциональным уровнем домена 2003 или выше. (Надеюсь, это не проблема, учитывая, что Server 2003 не будет поддерживаться в июле.)
Я не рекомендую присоединять ваши продуктивные веб-серверы, расположенные в центре обработки данных, к вашему локальному домену Active Directory! Если ссылка не работает или соединение с вашим офисом плохое, вы рискуете потерять доступ к этим серверам!
Вы можете настроить перенаправление DNS на DNS-сервере вашего центра обработки данных для локального домена Active Directory.
Например, предположим, что ваш домен Active Directory называется example.local, а локальный DNS-сервер Active Directory имеет IP-адрес 192.168.0.10. Перейдите на DNS-сервер вашего центра обработки данных и настройте DNS-сервер пересылки, например. Local на 192.168.0.10.
Каждый раз, когда вы обращаетесь к компьютеру в домене example.local, DNS-сервер вашего центра обработки данных перенаправляет DNS-запрос на локальный DNS-сервер Active Directory вашего сайта.
Теперь вы можете присоединиться к домену. Возможно, вам потребуется настроить суффикс домена, если вы не хотите указывать имя домена и работать только с именами хостов. Это означает, что вам нужно пинговать server1.example.local, client1.example.com а также присоединяйтесь example.local и не только пинг server1 и server2 и присоединяйся пример.