Active Directory: ¿se requiere que el registro "A" de un dominio apunte a un controlador de dominio?

10

Actualmente tenemos una configuración de Active Directory y decimos que el nombre es 'example.com'. Las entradas DNS para example.com tienen dos registros A que apuntan a los dos controladores de dominio. Me gustaría que los usuarios internos puedan acceder a nuestro sitio web utilizando http://example.com/ pero, no ejecutamos el sitio desde los controladores de dominio y no quiero instalar IIS u otro servicio solo hacer una redirección a www.example.com.

Si lo entiendo correctamente, debería poder eliminar esas entradas y agregar un nuevo registro A que apunte a la IP del servidor web y las cosas no se romperán, ya que los clientes suelen usar los registros SRV para ubicar los controladores de dominio y demás.

¿Es esto correcto? No quiero causar una interrupción es la razón por la que pregunto antes de cambiarla. :)

domain-name-system  active-directory 
Jeff Puckett
fuente
1
Por supuesto, si le gustaría usar domain.com, el problema desaparecerá (a menos que tenga un servidor llamado "www").
John Rennie

Respuestas:

17

Estás aprendiendo por qué no deberías usar el mismo nombre de dominio para tu Active Directory que estás usando para tu presencia externa en Internet.

Los registros "A" para el dominio que hace referencia a los controladores de dominio se utilizan para que DFS resuelva el nombre del dominio en un controlador de dominio (principalmente para que las computadoras cliente accedan a SYSVOL). Si elimina esos registros "A", verá una ruptura de la política de grupo, entre otras cosas.

Si no puede cambiar el nombre del dominio AD, creo que está atascado colocando IIS (o algún otro servidor HTTP) en esos cuadros para redirigir las computadoras cliente al host correcto.

Por eso llamo a mis dominios AD "ad.domain.com". Debería tener una muy buena razón antes de crear una zona DNS en un servidor DNS privado que coincida con una zona para la que Internet ya tiene servidores DNS autorizados. Lo ha hecho y ha agregado Active Directory a la mezcla.

Evan Anderson
fuente
3

Se requiere que esos registros A apunten a controladores de dominio. Son imprescindibles para DFS (SYSVOL, acceso Netlogon) y la replicación. En este caso, puede vivir peligrosamente y usar alguna herramienta de redirección o vivir pidiéndole a los usuarios que escriban www.dominio.com. Puede aliviar su dolor de alguna manera haciendo una entrada favorita para el dominio en IE o haciendo esa página de inicio para ellos. Entonces tienen que escribirlo raramente.

CAPAS
fuente
1

Este es el equivalente de Active Directory de poner una pistola en sus servidores y apretar el gatillo varias veces.

Si las entradas fueron creadas por AD, no te metas con ellas. Te arepentirás.

Avery Payne
fuente
1
Eso es un poco extremo. Siempre puede hacer un "net stop netlogon" / "net start netlogon" para volver a registrar esos registros.
Evan Anderson
2
¡Sin embargo, es un visual gratificante!
Squillman
0

Puede resolver su problema mediante la implementación de un archivo de host personalizado (/ system32 / drivers / hosts) para ellos como una solución rápida, no recomendaría jugar con las entradas dns del directorio activo.

Maxwell
fuente
44
Ninguna solución que implique "archivos hosts" debería considerarse una buena idea, OMI. Dicho esto, si hiciera eso, rompería el acceso al dominio SYSVOL desde esas computadoras cliente.
Evan Anderson
Creo que debería haber leído mejor esta pregunta. Gracias.
Maxwell
0

Si desea que sus usuarios accedan a su página web, simplemente cree un nuevo nombre de host en su Administrador de DNS (no Active Directory) llamado www y apúntelo a su host web externo. Hecho. entonces los usuarios solo necesitan escribir www.yourdomain en su navegador.

Un poco tarde para ti, pero puedo ayudar a otros.

magilla
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.