Active Directory: требуется ли, чтобы запись "A" для домена указывала на контроллер домена?

В настоящее время у нас есть настройка Active Directory, и говорят, что имя "example.com". Записи DNS для example.com имеют две записи A, указывающие на два контроллера домена. Я хотел бы, чтобы внутренние пользователи могли получить доступ к нашему веб-сайту с помощью http://example.com/ но мы не запускаем сайт с контроллеров домена и не хочу устанавливать IIS или какой-либо другой сервис просто так перенаправление на www.example.com.

Если я правильно понимаю, я смогу удалить эти записи и добавить новую запись A, указывающую на IP веб-сервера, и все не сломается, так как клиенты обычно используют записи SRV для поиска контроллеров домена и тому подобного.

Это верно? Я не хочу вызывать сбой - вот причина, по которой я спрашиваю, прежде чем просто изменить его.:)

5 ответов

Решение

Вы узнаете, почему не следует использовать то же доменное имя для Active Directory, что и для внешнего присутствия в Интернете.

Записи "A" для домена, относящиеся к контроллерам домена, используются для DFS для разрешения имени домена для контроллера домена (главным образом для клиентских компьютеров для доступа к SYSVOL). Если вы удалите эти записи "А", вы увидите, среди прочего, разрыв групповой политики.

Если вы не можете переименовать домен AD, я думаю, что вы застряли, помещая IIS (или какой-либо другой HTTP-сервер) в эти поля, чтобы перенаправить клиентские компьютеры на нужный хост.

Вот почему я называю свои домены AD "ad.domain.com". У вас должна быть очень веская причина, прежде чем создавать DNS-зону на частном DNS-сервере, которая соответствует зоне, для которой в Интернете уже есть авторитетные DNS-серверы. Вы сделали это и добавили Active Directory в смесь.

Требуется, чтобы эти записи A указывали на контроллеры домена. Они необходимы для DFS (SYSVOL, Netlogon access) и репликации. В этом случае вы можете жить опасно и использовать какой-либо инструмент перенаправления, либо просто попросить пользователей ввести www.domain.com. Вы можете как-то облегчить их боль, сделав любимую запись для домена в IE или сделав эту домашнюю страницу для них. Таким образом, они должны печатать это редко.

Это эквивалент Active Directory для установки оружия на ваши серверы и многократного нажатия на курок.

Если записи были созданы AD, то не связывайтесь с ними. Вы будете сожалеть об этом.

Если вы хотите, чтобы пользователи заходили на вашу веб-страницу, просто создайте новое имя хоста в диспетчере DNS (не Active Directory) с именем www и укажите его на внешнем веб-хосте. Готово. тогда пользователям просто нужно ввести www.yourdomain в своем браузере.

Я немного опоздал, но я могу помочь другим.

Вы можете решить свою проблему, установив для них файл пользовательского хоста (/system32/drivers/hosts), чтобы быстро исправить это, я бы не рекомендовал возиться с записями DNS в активном каталоге.

Другие вопросы по тегам