Я настраиваю новый экземпляр Active Directory для своего отдела в университете. У меня есть некоторый опыт управления доменами на предыдущих работах (NT4 / 2k / 2003), но здесь есть две уникальные особенности нашей среды: 100% публичное пространство IP-адресов (фактически нет брандмауэров, и весь DNS является общедоступным DNS) и DNS управляется централизованно (BIND в UNIX, и они не будут делегировать мне субдомен и не разрешать динамическое обновление DNS на своих серверах.)
Поскольку частный или разделенный DNS невозможен, записи SRV для моего домена (ad.dept.univ.edu) будут доступны через общедоступный DNS. Несмотря на то, что DNS является общедоступным, я использую брандмауэр, чтобы позволить компьютерам в кампусе подключаться к моим контроллерам домена. У меня будет два контроллера AD под управлением Windows Server 2008r2. По сути, это домен только для аутентификации, мы не запускаем файловые серверы Windows, большинство клиентских машин никогда не присоединяются к домену или не проходят прямую аутентификацию с помощью контроллера домена. Этот домен будет в основном просто обеспечивать централизованную аутентификацию, интегрированную в AD, для устройств и приложений.
Если вы думаете, что Samba4 + OpenLDAP справится с этой задачей, мне определенно интересно, но, пожалуйста, задайте себе и ответьте на новый вопрос вики вместо того, чтобы просто отвечать здесь.
Очень похоже на мою среду, только у меня есть делегирование DNS.
это возможно хотя очень сложно настроить среду AD DNS, которая не требует динамического DNS. Вам нужно будет вручную заполнить все записи SRV, а также необходимые записи NS и A для домена. Записи PTR не так важны. Поскольку вы не собираетесь часто добавлять или удалять машины из домена, это может даже поддерживаться в долгосрочной перспективе.
Не беспокойтесь о публичном пространстве IP-адресов. Вот для чего нужны брандмауэры. То, что злые люди могут смотреть на вас, не означает, что они могут прикоснуться к вам.
Я сделал это и управлял этим через webmin на моем DNS-сервере. * Добавить записи DNS через webmin очень просто. Намного лучше, чем делать это вручную через файлы конфигурации.
Необходимые сервисные записи:
Имя TTL Priority Weight Port Server
gc.tcp.domain 600 0100 3268 имя-сервера.domain.
kerberos.tcp.dc._msdcs.domain. 600 0 100 88 имя-сервера. Домен.
kerberos.tcp.domain. 600 0 100 88 имя-сервера. Домен.
kerberos.udp.domain. 600 0 100 88 имя-сервера. Домен.
kpasswd.tcp.domain. 600 0 100 464 имя-сервера. Домен.
kpasswd.udp.domain. 600 0 100 464 имя-сервера. Домен.
ldap.tcp.dc._msdcs.domain. 600 0 100 389 имя-сервера. Домен.
ldap.tcp.gc.msdcs.domain. 600 0100 3268 имя-сервера. Домен.
ldap.tcp.pdc.msdcs.domain. 600 0 100 389 имя-сервера. Домен.
ldap.tcp.domain. 600 0 100 389 имя-сервера. Домен.
ldap.tcp.domain. 600 0100 3268 имя-сервера. Домен.
msdcs.tcp.domain. 600 0 100 389 имя-сервера. Домен.
Выбрать все. | Наоборот.
В дополнение к вашей служебной документации вам потребуются соответствующие записи A:
gc._msdcs.domain. 600 IP-АДРЕС
Также НЕ ЗАБУДЬТЕ ЗАРЕГИСТРИРОВАТЬ СВОЙ DNS на своем сервере AD через строку cmd: ipconfig / registerdns
Если он по-прежнему не работает, то в средстве просмотра событий на вашем сервере AD будут четкие сообщения, указывающие, какие записи DNS он пытается поразить.
У User56886 было большинство из них, и я начал на правильном пути, но вот полный список DNS-записей (обратите внимание на ведущие подчеркивания), которые работали для моего домена (dept.univ.edu) и моего контроллера активного каталога (ad.dept. univ.edu). TTL / веса / приоритеты на ваше усмотрение, я использовал 600, 0, 100 ниже.
_service._proto.name TTL class SRV priority weight port target _gc._tcp.dept.univ.edu. 600 IN SRV 0 100 3268 ad.dept.univ.edu. _gc._tcp.Default-First-Site-Name._sites.dept.univ.edu. 600 IN SRV 0 100 3268 ad.dept.univ.edu. _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu. _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu. _kerberos._tcp.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu. _kerberos._tcp.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu. _kerberos._udp.dept.univ.edu. 600 IN SRV 0 100 88 ad.dept.univ.edu. _kpasswd._tcp.dept.univ.edu. 600 IN SRV 0 100 464 ad.dept.univ.edu. _kpasswd._udp.dept.univ.edu. 600 IN SRV 0 100 464 ad.dept.univ.edu. _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu. _ldap._tcp.Default-First-Site-Name._sites.dc.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu. _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.dept.univ.edu. 600 IN SRV 0 100 3268 ad.dept.univ.edu. _ldap._tcp.dc._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu. _ldap._tcp.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu. _ldap._tcp.gc._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu. _ldap._tcp.pdc._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.
Кроме того, есть две записи (запись SRV и CNAME), которые зависят от сгенерированного SECID для вашего домена:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu CNAME ad.dept.univ.edu. _ldap._tcp.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu. 600 IN SRV 0 100 389 ad.dept.univ.edu.
Кроме того, вам (очевидно) нужна запись A для вашего контроллера домена.
Ссылка: страница 154 из 5-е издание Active Directory компании Oreilly (также доступно через Книги о сафари в Интернете).
Я бы установил DNS-серверы на машинах, которые вы собираетесь использовать в качестве контроллеров домена, и позволил бы контроллерам домена автоматически заполнять записи srv, чтобы у вас была копия, которую вы можете предоставить администраторам привязки. после этого это звучит так, как будто данные зоны могут быть довольно статичными, и вы сможете отключить серверы DNS Windows.
то, как вы формулируете свой вопрос, звучит так, как будто на территории кампуса могут быть другие леса на основе Active Directory. Как они решают свои проблемы с DNS? есть ли шанс присоединиться к существующему домену / лесу?
это возможно, хотя тот факт, что вся ваша инфраструктура открыта для публичных сетей, более чем пугает.
Если бы я был в этой ситуации, я бы реплицировал свои зоны, требуемые ADI, в локально управляемые (то есть мои) блоки BIND, а затем настроил бы представления, чтобы разрешить доступ только подчиненным зонам ADI из вашего «известного» IP-пространства. Ввиду того, что бизнес не желает вкладывать очень умеренные средства в пару дополнительных серверов BIND, я бы задокументировал все свои попытки убедить руководство в том, насколько плохо раскрывать вашу инфраструктуру AD в Интернете, и подготовить свое резюме. Потому что это будет мощным огненным взрывом ...