Due diversi domini e controller di dominio su una singola rete


10

Sto tentando di determinare se è possibile avere due controller di dominio Active Directory in esecuzione sulla stessa rete, all'interno della stessa sottorete, con due domini separati. Non voglio che questi due controller di dominio siano collegati in alcun modo (account, ecc.), Tranne per lo switch che li ho collegati.

La mia attuale preoccupazione riguarda il DNS: per quanto mi riguarda, questo è il problema principale. Dal momento che ho un singolo server DHCP che gestisce l'intera rete, voglio avere un set di indirizzi IP del server DNS distribuito a tutti i client. Tuttavia, il server DNS di DomainA non sarà in grado di rispondere alle query per DomainB e così via.

Immagino che questo possa essere risolto tramite server di inoltro - IE, potrei impostare gli indirizzi IP di entrambi i server DNS nella mia configurazione DHCP e quindi dire a DomainA di inoltrare richieste per * .DomainB al DNS di DomainB e viceversa. Potrei anche utilizzare una singola aggregazione che inoltra correttamente le richieste ai singoli server.

Tuttavia, non so se funzionerà o se esiste un'opzione migliore. Se questa fosse una rete aziendale, andrei avanti e installerei VLAN, più server DHCP, ecc. Tuttavia, sto cercando la semplicità (quanta più semplicità puoi ottenere con un controller di dominio a casa tua ...)

Il motivo per l'esecuzione di due controller di dominio sulla stessa rete? Gestisco un laboratorio a casa mia e ora ho convinto la persona con cui vivo a gestire un proprio controller di dominio. Tuttavia, voglio mantenere tutto separato per motivi di sicurezza.

Qualsiasi assistenza è apprezzata.

Risposte:


8

I due domini non interferiranno tra loro sulla stessa rete. Non ci sarà alcuna fiducia stabilita tra di loro a meno che tu non lo stabilisca manualmente.

Il problema DHCP è un punto valido e la tua potenziale correzione è corretta: puoi distribuire l'indirizzo DNS di un dominio tramite DHCP e utilizzare un server di inoltro per risolvere lo spazio dei nomi dell'altro dominio. Una soluzione alternativa sarebbe quella di configurare manualmente la rete per i client su uno dei domini e indirizzare manualmente il loro DNS sul controller di dominio corretto. Puoi lasciare il client dell'altro dominio funzionante dal DHCP.

Abbiamo alcune sottoreti utilizzate per i test interni e su cui sono in esecuzione 5+ domini diversi, senza problemi reali di cui parlare.


3

Ho avuto una risposta abbastanza lunga tutta scritta sul perché non dovresti percorrere questa strada, e poi ho riletto la tua domanda e ho visto la parte in cui hai detto che questo è a casa tua, quindi ecco la mia risposta rivista:

Assegnare solo i server DNS di un dominio tramite DHCP. Su tali server DNS impostare server di inoltro condizionali per l'altro dominio o creare una zona di stub per l'altro dominio.

Non l'ho fatto, quindi non sono sicuro al 100% che funzionerebbe, ma non riesco a pensare a nessun motivo.


3

Ho appena finito di farlo per uno scenario di migrazione. Ha funzionato ... Kinda.

L'avvertenza a cui prestare attenzione è il suffisso del nome di dominio. Se ne specifichi uno, i client avranno difficoltà a risolvere alcuni nomi host. Quindi non specificarne uno. In questo modo, i client risolveranno i nomi host in base al dominio a cui si sono uniti.

A parte questo, configura correttamente i tuoi forwarder condizionali DNS e dovresti andare bene.


Non è necessario configurare l'opzione del suffisso DNS per l'ambito DHCP. Lasciati non configurati tramite DHCP, i client DHCP dovrebbero usare il suffisso DNS primario dalla loro appartenenza al dominio. In effetti, in un dominio AD non c'è motivo di configurare un'opzione suffisso DNS nell'ambito DHCP. Configuro questa opzione solo quando ho a che fare con client non appartenenti al dominio che voglio avere una risoluzione dei nomi DNS e una registrazione dei nomi DNS comuni.
joeqwerty,

@joe - Sembra che non riesca a -1 il mio post, quindi l'ho corretto. Grazie per la tua conoscenza e input.
Jason Berg,

Felice di aiutare. +1 per la risposta aggiornata.
joeqwerty,

0

Consiglio di spostare i servizi DNS su un sistema Linux. I domini Windows non sono la stessa cosa dei domini Internet, ma vedo che i client lo confondono continuamente.

E meno esposto il tuo ambiente Windows è esposto a Internet, più sarai felice.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.