Два різні домени та контролери домену в єдиній мережі


10

Я намагаюся визначити, чи можливо два контролери домену Active Directory, які працюють в одній мережі в одній підмережі, з двома окремими доменами. Я не хочу, щоб ці два контролери домену так чи інакше були пов'язані (акаунти тощо), за винятком комутатора, який я їх з'єдную.

Моя нинішня стурбованість стосується DNS - наскільки я переживаю, це головна проблема. Оскільки у мене є один єдиний сервер DHCP, який обробляє всю мережу, я хочу мати один набір IP-адрес сервера DNS для всіх клієнтів. Однак DNS-сервер DomainA не зможе відповідати на запити для DomainB тощо.

Я думаю, це могло б бути вирішено за допомогою експедиторів - IE, я можу встановити IP адреси обох DNS-серверів у моїй конфігурації DHCP, а потім сказати DomainA для переадресації запитів * .DomainB до DNS DomainBB, і навпаки. Я також міг би використовувати єдину агрегацію, яка належним чином пересилає запити на окремі сервери.

Однак я не знаю, чи це допоможе, чи є кращий варіант. Якби це була ділова мережа, я б продовжував і встановлював VLANS, кілька серверів DHCP і т. Д. Однак я шукаю простоту (стільки простоти, скільки ви можете досягти за допомогою контролера домену у вашому будинку ...)

Причина запуску двох контролерів домену в одній мережі? У мене вдома працює лабораторія, і тепер я переконав людину, з якою живу, запустити власний контролер домену. Однак я хочу, щоб усе було відокремлено з міркувань безпеки.

Будь-яка допомога вдячна.

Відповіді:


8

Два домени не будуть заважати один одному в одній мережі. Довіри між ними не встановлено, якщо ви не встановите її вручну.

Проблема DHCP є дійсною точкою, і ваше потенційне виправлення є правильним. Ви можете роздати DNS-адресу одного домену через DHCP та використовувати переадресацію для вирішення простору імен іншого домену. Альтернативним виправленням було б вручну налаштувати мережу для клієнтів на одному з доменів і вручну вказати їх DNS на правильний контролер домену. Ви можете залишити клієнта іншого домену, який працює від DHCP.

У нас є кілька підмереж, які використовуються для внутрішнього тестування, і на них працює 5+ різних доменів, про які не можна говорити.


3

У мене була досить довга відповідь, набрана на тему, чому ви не повинні йти цією дорогою, і тоді я перечитав ваше запитання і побачив частину, де ви сказали, що це у вашому домі, ось ось моя переглянута відповідь:

Призначте лише один DNS-сервер домену через DHCP. На цих серверах DNS або встановлюють умовні перенаправники для іншого домену, або створюють зону заглушки для іншого домену.

Я цього не робив, тому не на 100% впевнений, що це спрацює, але я не можу придумати жодної причини, яка б не стала.


3

Я щойно закінчив робити це за сценарієм міграції. Це спрацювало ... Щось.

Застереження, на яке слід стежити, є суфіксом доменного імені. Якщо вказати таке, клієнтам буде важко вирішити деякі імена хостів. Тому не вказуйте жодного. Таким чином, клієнти вирішать імена хостів на основі домену, до якого вони приєднані.

Крім цього, просто налаштуйте свої умовні пересилачі DNS правильно, і вам слід добре.


Не потрібно налаштовувати параметр суфікса DNS для області DHCP. Залишившись неконфігурованими через DHCP, клієнти DHCP повинні використовувати основний суфікс DNS від членства в домені. Насправді в домені AD немає причин налаштовувати параметр суфікса DNS в області DHCP. Цей параметр я налаштовую лише тоді, коли я маю справу з клієнтами, що не приєдналися до домену, що я хочу мати загальну роздільну здатність імені DNS та реєстрацію імен DNS.
joeqwerty

@joe - я, здається, не зміг додати свій власний пост -1, тому я щойно виправив його. Дякую за ваші знання та внесок.
Джейсон Берг

Радий допомогти. +1 для оновленої відповіді.
joeqwerty

0

Я рекомендую перенести служби DNS в систему Linux. Домени Windows - це не те саме, що домени в Інтернеті, але я бачу, що клієнти постійно плутають це.

І чим менше піддаються вашій середовищі Windows Інтернет, тим щасливішим ви будете.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.