Meines Wissens gibt es keine Möglichkeit, einen Server mit AD zu verbinden, ohne dass der Server die AD-Domäne über DNS auflösen kann. Für den Beitritt müssen mehrere Einträge aus DNS abgerufen werden – einschließlich SRV-Einträge. Ein einfacher Hostdateieintrag sollte also nicht funktionieren.
Vor diesem Hintergrund lautet meine Frage: Habe ich Recht? Gibt es keine andere Möglichkeit, einen Server zu AD hinzuzufügen, ohne auf einen DNS-Server zuzugreifen, der die AD-Einträge hostet?
Der Grund für meine Frage ist:
Ich habe einige Server in AWS, die sich einer AD-Domäne innerhalb eines Unternehmensnetzwerks anschließen müssen. Wir haben einen VPN-Tunnel von AWS zurück zum Unternehmensnetzwerk. Diese Domäne wird nicht auf einem öffentlichen DNS-Server angekündigt, den wir von AWS aus erreichen können. Wir haben einen internen DNS-Server des Unternehmens mit den entsprechenden Einträgen. Mit einigen Netzwerkänderungen auf der Unternehmensseite könnten wir diesen DNS nun über unseren VPN-Tunnel erreichen. In AWS verwenden wir jedoch den AWS DNS-Dienst mit einer delegierten Zone, um die Server-zu-Server-Kommunikation innerhalb von AWS aufzulösen, und dieser wendet sich dann für alles, was er nicht auflösen kann, an unseren öffentlichen DNS-Server des Unternehmens. Wir verwenden den AWS DNS-Server auch für Integritätsprüfungen in AWS, um regionale Failovers auszulösen.
Wenn wir unsere AWS-Server über den VPN-Tunnel auf unseren internen Unternehmens-DNS verweisen würden, wäre eine interne Auflösung innerhalb von AWS nicht mehr möglich.
Ich sehe nur ein paar Optionen.
Finden Sie einen Weg, einen Server ohne DNS-Nutzung mit AD zu verbinden, was meiner Meinung nach aus den zuvor genannten Gründen nicht möglich ist. Aber wenn jemand etwas anderes weiß, sagen Sie es bitte.
Stellen Sie die AD-DNS-Einträge auf unserem externen (öffentlichen) DNS bereit.
Unser gesamtes DNS-Design für Cloud- und Unternehmensumgebungen neu gestalten. Diese Option wird einige Zeit in Anspruch nehmen und ist möglicherweise die langfristige Lösung. In der Zwischenzeit brauche ich aber auch eine kurzfristige Lösung. Option 1 und 2 sind die einzigen kurzfristigen Lösungen, die mir einfallen, und wenn 1 nicht möglich ist, wie ich denke, bleibt mir nur Option 2.
Sind Sie also der Meinung, dass Option 1 nicht möglich ist und/oder haben Sie noch andere Ideen, die ich nicht bereits aufgelistet habe?
Dank im Voraus
Antwort1
Ein Computer kann einer AD-Domäne nicht beitreten, ohne Zugriff auf die interne DNS-Zone dieser Domäne zu haben. Selbst wenn ein Domänenbeitritt möglich wäre, würde nichts mit AD zu tun haben (einschließlich Anmeldungen, GPOs usw.), wenn der Computer nicht in der Lage ist, AD-DNS-Einträge richtig abzufragen.
In AWS verwenden wir den AWS DNS-Dienst mit einer delegierten Zone, um die Server-zu-Server-Kommunikation innerhalb von AWS aufzulösen. Für alles, was er nicht auflösen kann, greift er dann auf unseren öffentlichen DNS-Server des Unternehmens zu.
Die richtige Lösung besteht darin, dass die Server in AWS Ihren internen DNS-Server verwenden, der auch Einträge für die Namen der AWS-Server enthalten sollte (wird automatisch erstellt, wenn sie einer Domäne angehören, andernfalls manuell), sodass sie die Namen der anderen Server auflösen können. Natürlich sollte Ihr interner DNS-Server auch in der Lage sein, Internetnamen aufzulösen, sodass er dies auch für AWS-Server tun könnte.
DerrealDie Lösung bestünde darin, einen Domänencontroller in einer AWS-Maschine zu erstellen und einen Active Directory-Standort für das AWS-Netzwerk zu definieren. Anschließend würden alle AWS-Server diesen Domänencontroller als DNS-Server verwenden. Mit dieser Konfiguration müssten DNS-Abfragen und Domänenanmeldungen nicht jedes Mal über das VPN laufen und würden auch dann weiter funktionieren, wenn die VPN-Verbindung abbricht.