據我所知,如果伺服器無法透過 DNS 解析 AD 網域,他們就無法將伺服器加入 AD。加入需要能夠從 DNS 取得多個記錄 - 包括 SRV 記錄。因此,簡單的主機檔案條目應該不起作用。
考慮到這一點,我的問題是我是否正確,是否沒有其他方法可以在不訪問託管 AD 記錄的 DNS 伺服器的情況下將伺服器加入 AD?
我問的原因是:
我在 AWS 中有一些伺服器需要加入公司網路內的 AD 網域。我們有從 AWS 回到公司網路的 VPN 隧道。該網域未在我們可以從 AWS 存取的公共 DNS 伺服器上公佈。我們確實有一個具有適當記錄的內部公司 DNS 伺服器。現在,透過公司方面的一些網路更改,我們可以透過 VPN 隧道存取此 DNS;但是,在 AWS 中,我們使用帶有委派區域的 AWS DNS 服務來解析 AWS 內的伺服器到伺服器通信,然後它會聯繫我們的公司公共 DNS 伺服器來解決其無法解析的任何問題。我們也使用 AWS DNS 伺服器在 AWS 上進行執行狀況檢查,以觸發區域故障轉移。
如果我們透過 VPN 隧道將 AWS 伺服器指向我們的內部公司 DNS,那麼我們將無法再在 AWS 內部進行解析。
我只看到幾個選項。
找到一種在不使用 DNS 的情況下將伺服器加入 AD 的方法,由於我之前所述的原因,我認為這是不可能的。但如果有人有不同的認識,請說出來。
在我們的外部(公共)DNS 上公開 AD DNS 記錄。
重新設計我們雲端和企業環境的整個 DNS 設計。這個選擇需要時間,也許這將是長期的解決方案。但同時我還需要一個短期解決方案。選項 1 和 2 是我能想到的唯一短期解決方案,如果選項 1 像我認為的那樣不可能,那麼我就只有選項 2。
那麼您是否同意選項 1 是不可能的和/或您是否有我尚未列出的任何其他想法。
先致謝
答案1
如果電腦無法存取 AD 網域的內部 DNS 區域,則無法加入該網域;即使可以實現網域加入,當電腦無法正確查詢 AD DNS 記錄時,任何與 AD 相關的操作(包括登入、GPO 等)都將無法運作。
在 AWS 中,我們使用具有委派區域的 AWS DNS 服務來解析 AWS 內的伺服器到伺服器通信,然後它會聯繫我們的公司公共 DNS 伺服器來解決無法解析的任何問題
正確的解決方案是讓 AWS 中的伺服器使用您的內部 DNS 伺服器,該伺服器還應包含 AWS 伺服器名稱的記錄(如果已加入網域,則會自動建立,如果未加入,則手動建立),以便它們能夠解析彼此的姓名;當然,您的內部 DNS 伺服器也應該能夠解析 Internet 名稱,因此它也可以為 AWS 伺服器執行此操作。
這真實的解決方案是在 AWS 電腦中建立一個網域控制器,並為 AWS 網路定義一個 Active Directory 站點,然後讓所有 AWS 伺服器使用該 DC 作為其 DNS 伺服器;透過此設置,DNS 查詢和網域登入不必每次都遍歷 VPN,並且即使 VPN 連線中斷也可以繼續運作。