我正在尝试利用 Active Directory DNS 为不同域上的内部应用程序提供服务。例如,在 AD 中,我们有一个 blah.com 的正向查找区域。我们所有的服务器内部地址和 blah.com 的一些网站都存储在这里。
我需要为内部资源添加另一个域,例如blank.com。我希望能够使用新域名设置相同的配置,这样当我访问 Blank.com 时,我可以将其指向本地地址,以便域中的每个人都可以访问它。
我不确定这里的最佳实践是什么,但我是否需要使用空白.com 域名创建一个新的正向查找区域?然后我在该正向查找区域中创建 A/CNAME 记录?
谢谢!
我没有尝试解决此问题,因为我不想在 Active Directory 中错误地配置任何内容并搞砸任何事情。
您可以在与域控制器相同的服务器上添加新的正向查找区域。对于这种情况我建议选择
主要区域:由于这是一个新区域,无法从任何 DNS 服务器复制为辅助区域
存储区域:Active Directory。提出此建议的原因是该区域将自动复制到其他域控制器,并且您可以选择保护每个 DNS 记录。
复制范围:如果您在林中规划了其他域树和域,并且您需要在其他域中使用此 DNS 区域记录,您可以选择 Forest ,如果您计划留在单个域中,您可以设置域或林。不同之处在于记录存储在 Active Directory 中的不同应用程序分区中。基于域的复制范围将 DNS 记录存储在 DomainDNSZones AD 分区中,而基于林的复制范围将 DNS 记录存储在 ForestDNSZones 分区中。第一个分区自动复制到同一域中的所有 DC,而后一个分区自动复制到同一林中的所有域控制器。
动态更新:如果您的客户端不打算向此区域发送动态 DNS 更新(例如特定的 DNS 后缀),我建议“不允许动态更新”。
当前的 Active Directory 基础设施受到怎样的影响?
您可以定义新的DNS资源记录,请注意以下事项:
通常,如果您提供另一组 IP 地址并在应用程序中使用不同的主机名,则不会出现问题。
但是,如果您尝试访问域成员并定义指向同一 IP 地址的新主机记录,并且您有由新区域更新的反向查找区域,则可能会出现问题,因为 DNS 反向查找查询将在两个区域记录之间进行负载平衡。这可能会导致现有 AD 域出现问题。
我还建议不要将新区域 DNS 资源记录的主机名部分与现有域成员的计算机名称相同。
另请注意,Windows 集成身份验证 (Kerberos) 会在 AD 中搜索 SPN 注册,因此,如果您的应用程序使用新的 DNS 域名来访问 app.blank.com 等应用程序,则无法启用 Kerberos 身份验证,除非您启用了 Kerberos 身份验证。在域控制器中注册新的 SPN。