Я пытаюсь настроить контроллер домена на Windows Server 2012 R2. Я читал, что передовой практикой является не использовать выдуманный TLD (например, .local, .lan и т. Д.), А использовать то, что действительно принадлежит вам (например, mysite.com). Я зарегистрировал домен через namecheap.com, и они занимаются хостингом почты и DNS. У меня нет статического IP-адреса (меняется редко, но возможно). Я хотел бы продолжать использовать их для DNS (у меня есть только пара записей, @ и www, но в будущем я могу добавить еще пару). Я использую инструмент, который обновляет DNS с их помощью, если мой IP-адрес меняется. Я решил, что сделаю корень своего контроллера домена dc.mysite.com.
У людей обычно есть что-то вроде AD.mysite.com или DC.mysite.com в своих DNS, которые общедоступны? Я бы предпочел, чтобы он разрешал 192.168.1.x вместо IP, выходящего в Интернет.
Похоже, мне нужно делегировать субдомен для контроллера домена. Роль DNS будет установлена на том же сервере. Это будет только для контроллера домена. Я хотел бы создать поддомен локально (только для внутренней сети) без участия моего DNS-провайдера (namecheap.com) - возможно ли это? Я бы предпочел оставить его только в интрасети и разрешить прохождение запросов для @ и www, а DNS namecheap.com будет для него авторитетным.
Если вы не собираетесь предлагать службы, связанные с Active Directory, для машин, использующих общедоступные преобразователи DNS (что не рекомендуется, поскольку состояние безопасности AD не предназначено для прямого доступа к общедоступному Интернету), вам не нужно раскрывать свой AD. Пространство имен DNS в Интернете. Обычно все компьютеры-члены вашего домена (включая компьютеры контроллеров домена (DC)) должны использовать DNS-серверы, работающие на контроллерах домена в вашем лесу. Эти серверы обычно имеют межсетевой экран из сети Интернет.
То, что вы говорите в последнем абзаце, более или менее правильно. Когда вы говорите "..." и пропускаете запросы для @ и www ... ", это, кажется, подразумевает, что вы думаете, что должны что-то делать. Предполагая, что вы не создаете зону" mysite.com "в своем Конфигурация DNS DC. Служба DNS-сервера будет автоматически рекурсивно разрешать любые домены, для которых она не является официальной.
Вы правы в том, что текущая общепринятая мудрость (и широко признанная передовая практика) заключается в использовании неиспользуемого поддомена вашего публичного домена для AD. Во всех смыслах и целях отношения заканчиваются. Ваш общедоступный DNS-сервер и ваш AD-DNS не нуждаются во взаимодействии. Технически вам не нужно делегировать субдомен вашим серверам AD DNS, потому что ваш общедоступный DNS и ваш AD DNS должны управляться как отдельные пространства имен. Вы не должны открывать свой сервер AD DNS в Интернете.
Если ваш домен AD назван ad.mysite.com то ваш DNS-сервер AD является авторитетным для ad.mysite.com. Это не авторитетно для mysite.com. Любые внутренние запросы на mysite.com ресурсы будут разрешены вашими внешними DNS-серверами.