域控制器使用子域,而託管服務提供商使用主 DNS
我正在嘗試在 Windows Server 2012 R2 上設置域控制器。我讀到最好的做法是不要使用虛構的 TLD(例如 .local、.lan 等),而是使用您實際擁有的東西(例如 mysite.com)。我通過 namecheap.com 註冊了一個域,他們負責郵件託管和 DNS。我沒有靜態 IP 地址(它很少更改,但有可能)。我想繼續將它們用於 DNS(我只有幾條記錄,@ 和 www,但將來可能會添加更多)。如果我的 IP 地址發生變化,我會使用一個工具來更新 DNS。我決定將我的域控制器作為 dc.mysite.com 的根目錄。
人們通常在他們的 DNS 中是否有類似 AD.mysite.com 或 DC.mysite.com 的面向公眾的內容?我希望它解析為 192.168.1.x 而不是面向 Internet 的 IP。
看來我需要委託給域控制器的子域。DNS 角色將安裝在同一台伺服器上。它僅適用於域控制器。我想在本地創建一個子域(僅面向 Intranet)而不涉及我的 DNS 提供商 (namecheap.com) - 這可能嗎?我寧願只保留 Intranet,讓 @ 和 www 的查詢通過,讓 namecheap.com DNS 對其具有權威性。
除非您打算向使用公共 DNS 解析器的機器提供與 Active Directory 相關的服務(這是不明智的,因為 AD 的安全狀態並非旨在直接暴露於公共 Internet),否則您不需要暴露您的 AD到 Internet 的 DNS 命名空間。通常,您的所有域成員電腦(包括域控制器 (DC) 電腦)都應該在您的林中的 DC 上執行 DNS 伺服器。這些伺服器通常會受到 Intenrnet 的防火牆保護。
你在最後一段中所說的或多或少是正確的。當您說“…”並讓 @ 和 www 的查詢通過…”時,這似乎暗示您認為您必須做點什麼。假設您沒有在您的DC 的 DNS 配置 DNS 伺服器服務將自動遞歸解析它不具有權威性的任何域。