Насколько мне известно, у них нет возможности присоединиться к серверу в AD, если сервер не сможет разрешить домен AD через DNS. Для присоединения требуется возможность получать несколько записей из DNS, включая записи SRV. Так что простая запись в файл хоста работать не будет.
Имея это в виду, мой вопрос: прав ли я, нет ли другого способа присоединиться к серверу в AD без доступа к DNS-серверу, на котором размещены записи AD?
Причина, по которой я спрашиваю:
У меня есть несколько серверов в AWS, которым необходимо присоединиться к домену AD внутри корпоративной сети. У нас есть VPN-туннель от AWS обратно в корпоративную сеть. Этот домен не рекламируется на общедоступном DNS-сервере, к которому мы можем подключиться из AWS. У нас есть внутренний корпоративный DNS-сервер с соответствующими записями. Теперь, после некоторых сетевых изменений на корпоративной стороне, мы можем подключиться к этому DNS через наш VPN-туннель; однако в AWS мы используем сервис AWS DNS с делегированной зоной для разрешения связи между серверами в AWS, а затем он обращается к нашему корпоративному общедоступному DNS-серверу для любых проблем, которые он не может решить. Мы также используем DNS-сервер AWS для проверки работоспособности на AWS, чтобы инициировать отработку отказа региона.
Если бы мы направили наши серверы AWS на наш внутренний корпоративный DNS через VPN-туннель, мы больше не смогли бы выполнять внутреннее разрешение в AWS.
Я вижу только пару вариантов.
Найдите способ присоединить сервер к AD без использования DNS, что, как я думаю, невозможно по причинам, о которых я говорил ранее. Но если кто знает другое, скажите, пожалуйста.
Выставьте записи AD DNS на нашем внешнем (общедоступном) DNS.
Измените весь дизайн DNS для облачных и корпоративных сред. Этот вариант потребует времени и, возможно, станет долгосрочным решением. Но пока мне нужно и краткосрочное решение. Варианты 1 и 2 - единственные краткосрочные решения, которые я могу придумать, и если 1 невозможно, как я думаю, тогда у меня остается только вариант 2.
Вы согласны с тем, что вариант 1 невозможен, и / или у вас есть какие-то другие идеи, которые я еще не перечислил.
заранее спасибо
Компьютер не может присоединиться к домену AD без доступа к внутренней зоне DNS для этого домена; даже если присоединение к домену может быть достигнуто, ничего, связанное с AD, не будет работать (включая вход в систему, объекты групповой политики и т. д.), когда компьютер не может правильно запрашивать записи AD DNS.
В AWS мы используем сервис AWS DNS с делегированной зоной для разрешения взаимодействия сервера с сервером в AWS, а затем он обращается к нашему корпоративному общедоступному DNS-серверу для всех, что не может решить.
Правильным решением является использование серверами в AWS вашего внутреннего DNS-сервера, который также должен содержать записи для имен серверов AWS (автоматически создаваемые, если они присоединены к домену, и вручную, если это не так), чтобы они могли разрешать имена друг друга; Конечно, ваш внутренний DNS-сервер также должен иметь возможность разрешать имена в Интернете, поэтому он может делать это и для серверов AWS.
В настоящий Решением будет создание контроллера домена на машине AWS и определение сайта Active Directory для сети AWS, а затем использование всеми серверами AWS этого контроллера домена в качестве DNS-сервера; при такой настройке DNS-запросы и вход в домен не должны каждый раз проходить через VPN и будут продолжать работать, даже если VPN-соединение разорвется.