使用活動目錄進行使用者管理,但不使用 DNS
在一家快速發展的公司中,我們有許多主要是 linux 伺服器(ubuntu 和 debian),我們正在轉向 AD 進行使用者管理、訪問控制等。我已經設置了一個測試伺服器來使用 realmd 對 AD 進行身份驗證/sssd。作為此過程的一部分,根據指南/嚮導,AD 伺服器成為我們主要公共域 example.com 的權威 DNS 伺服器(我希望我說得對,這對我來說是新的)。但它使用 SOA 為我們的主域 example.com 創建了 DNS 伺服器;我認為它這樣做是因為它需要發送 SRV 記錄)。但是,我們已經有一個內部使用的 dns 伺服器(使用 dnsmasq),當然它也有自己的 SOA。我們的內部域是我們的主要公共域。
這是絕對必要的嗎?如果不是,我如何配置 AD 以將 example.com 的所有 DNS 請求轉發到我們的內部名稱伺服器,同時仍然創建和廣播 SRV 記錄,我很確定這是什麼使 realmd 和/或sssd 工作。
這是一個可能出現的問題,需要仔細規劃。
最佳做法是使用真實的現有 DNS 區域作為您的內部 AD 區域。這可以防止與現實世界的外部資源發生衝突。正如Esa建議的那樣,您可以使用子域來實現此目的,這有助於防止與例如您為自己的公共資源執行的面向公眾的 DNS 發生衝突。您不希望您的內部 DNS 與您的公共 DNS 有不同的記錄,例如“www.example.com”。這篇 Microsoft 文章很好地概述了“裂腦”DNS 場景以及如何處理它。
完全支持在安裝 DNS 時不使用 Microsoft DNS 伺服器。這篇 Stack Overflow 文章詳細解釋瞭如何使用外部(非 Windows)DNS 來託管您的所有 AD 區域資訊。
因此,您應該仔細選擇您的主要內部域名 - 如果這是您的主要面向公眾的域,則可能避免使用“example.com”。然後,您應該選擇 AD 區域是與此相同還是不同 - 可能是一個子域,但這是可選的。
對於什麼是最好的,沒有絕對的答案,但這裡有一個建議:
example.com - public-facing zone example.net - internal zone (purchased from appropriate registrar) ad.example.net - internal AD zone
您的問題也可能通過共享完全相同的區域以供“正常”內部使用和 AD 使用以及使用現有的非 Microsoft DNS 伺服器來回答。