Насколько мне известно, нет способа присоединить сервер к AD без возможности сервера разрешить домен AD через DNS. Присоединение требует возможности получить несколько записей из DNS, включая записи SRV. Поэтому простая запись в файле host не должна работать.
Учитывая это, мой вопрос таков: правильно ли я понимаю, что нет другого способа присоединить сервер к AD без доступа к DNS-серверу, на котором размещены записи AD?
Причина, по которой я спрашиваю, такова:
У меня есть несколько серверов в AWS, которые нужно присоединить к домену AD внутри корпоративной сети. У нас есть VPN-туннель из AWS обратно в корпоративную сеть. Этот домен не объявлен на публичном DNS-сервере, к которому мы можем обратиться из AWS. У нас есть внутренний корпоративный DNS-сервер с соответствующими записями. Теперь, с некоторыми сетевыми изменениями на корпоративной стороне, мы можем обратиться к этому DNS через наш VPN-туннель; однако в AWS мы используем службу AWS DNS с делегированной зоной для разрешения межсерверного взаимодействия в AWS, а затем он обращается к нашему корпоративному публичному DNS-серверу для всего, что он не может разрешить. Мы также используем сервер AWS DNS для проверок работоспособности на AWS, чтобы инициировать отказоустойчивость региона.
Если бы мы подключили наши серверы AWS к нашему внутреннему корпоративному DNS через VPN-туннель, мы бы больше не смогли выполнять внутреннее разрешение в AWS.
Я вижу только несколько вариантов.
Найдите способ присоединить сервер к AD без использования DNS, что, как я думаю, невозможно по причинам, которые я указал ранее. Но если кто-то знает иначе, пожалуйста, скажите об этом.
Опубликуйте записи AD DNS на нашем внешнем (публичном) DNS.
Перепроектировать весь наш дизайн DNS облачных и корпоративных сред. Этот вариант займет время и, возможно, станет долгосрочным решением. Но мне также нужно краткосрочное решение в то же время. Варианты 1 и 2 — единственные краткосрочные решения, которые я могу придумать, и если вариант 1 невозможен, как я думаю, то у меня остается только вариант 2.
Итак, вы согласны, что вариант 1 невозможен и/или у вас есть другие идеи, которые я еще не перечислил?
заранее спасибо
решение1
Компьютер не может присоединиться к домену AD, не имея доступа к внутренней зоне DNS этого домена. Даже если присоединение к домену может быть достигнуто, никакие функции, связанные с AD, не будут работать (включая входы в систему, объекты групповой политики и т. д.), если компьютер не может должным образом запрашивать записи DNS AD.
В AWS мы используем службу AWS DNS с делегированной зоной для разрешения межсерверного взаимодействия в пределах AWS, а затем она обращается к нашему корпоративному публичному DNS-серверу для всего, что он не может разрешить.
Правильным решением будет заставить серверы в AWS использовать ваш внутренний DNS-сервер, который также должен содержать записи для имен серверов AWS (создаваемые автоматически, если они присоединены к домену, и вручную, если нет), чтобы они могли разрешать имена друг друга; конечно, ваш внутренний DNS-сервер также должен иметь возможность разрешать интернет-имена, поэтому он может делать это и для серверов AWS.
TheнастоящийРешением было бы создать контроллер домена на машине AWS и определить сайт Active Directory для сети AWS, а затем заставить все серверы AWS использовать этот контроллер домена в качестве своего DNS-сервера. При такой настройке DNS-запросы и входы в домен не должны были бы каждый раз проходить через VPN и продолжали бы работать даже в случае разрыва VPN-подключения.