Que eu saiba, não há como ingressar um servidor no AD sem que o servidor seja capaz de resolver o domínio do AD via DNS. A adesão requer a capacidade de obter vários registros do DNS - incluindo registros SRV. Portanto, uma simples entrada no arquivo host não deveria funcionar.
Com isso em mente, minha pergunta é: não há outra maneira de ingressar um servidor no AD sem acesso a um servidor DNS que hospeda os registros do AD?
A razão pela qual pergunto é:
Tenho alguns servidores na AWS que precisam ingressar em um domínio AD dentro de uma rede corporativa. Temos túnel VPN da AWS de volta à rede corporativa. Este domínio não é anunciado em um servidor DNS público que possamos acessar na AWS. Temos um servidor DNS corporativo interno com os registros apropriados. Agora, com algumas mudanças de rede no lado corporativo, poderíamos acessar esse DNS através do nosso túnel VPN; no entanto, na AWS, usamos o serviço DNS da AWS com uma zona delegada para resolver a comunicação entre servidores na AWS e, em seguida, ele entra em contato com nosso servidor DNS público corporativo para qualquer coisa que não possa resolver. Também usamos o servidor DNS da AWS para verificações de integridade na AWS para acionar failovers de região.
Se apontarmos nossos servidores AWS para nosso DNS corporativo interno por meio do túnel VPN, não seremos mais capazes de resolver internamente na AWS.
Só vejo algumas opções.
Encontre uma maneira de ingressar um servidor no AD sem usar DNS, o que não acho possível pelos motivos que afirmei anteriormente. Mas se alguém souber o contrário, por favor diga.
Exponha os registros DNS do AD em nosso DNS externo (público).
Redesenhe todo o nosso design de DNS de ambientes corporativos e de nuvem. Esta opção levará tempo e talvez seja a solução a longo prazo. Mas, entretanto, também preciso de uma solução a curto prazo. As opções 1 e 2 são as únicas soluções de curto prazo em que consigo pensar e se 1 não for possível como penso, isso me deixa apenas com a opção 2.
Você concorda que a opção 1 não é possível e/ou você tem alguma outra ideia que ainda não listei?
desde já, obrigado
Responder1
Não é possível que um computador ingresse em um domínio AD sem ter acesso à zona DNS interna desse domínio; mesmo que a adesão ao domínio pudesse ser alcançada, nada relacionado ao AD funcionaria (incluindo logons, GPOs, etc.) quando o computador não conseguisse consultar adequadamente os registros DNS do AD.
Na AWS, usamos o serviço DNS da AWS com uma zona delegada para resolver a comunicação entre servidores na AWS e, em seguida, ele entra em contato com nosso servidor DNS público corporativo para qualquer coisa que não possa resolver
A solução adequada é fazer com que os servidores na AWS usem seu servidor DNS interno, que também deve conter registros para os nomes dos servidores AWS (criados automaticamente se eles estiverem associados ao domínio, manualmente se não forem), para que eles possam resolver o nome um do outro; é claro que seu servidor DNS interno também deve ser capaz de resolver nomes da Internet, portanto, também poderia fazer isso para servidores AWS.
Oreala solução seria criar um controlador de domínio em uma máquina AWS e definir um site do Active Directory para a rede AWS e, em seguida, fazer com que todos os servidores AWS usassem esse DC como servidor DNS; com essa configuração, as consultas DNS e os logons de domínio não precisariam passar pela VPN todas as vezes e continuariam funcionando mesmo se a conexão VPN caísse.