如何从本地networking引用域控制器？

我们有多个分散在不同主机提供商的服务器。为了学习，试验和最终的生产目的，我把其中一个设置为域控制器。

这很顺利，我们的大部分服务现在都通过AD进行validation，这对我们帮助很大。

我现在想要做的是简化多个服务器的身份validation，使他们每个人都看看域控制器。这样，我们的开发人员就可以使用AD的相同凭据login（远程桌面）多个服务器。

我知道我必须configuration每个服务器来查看域控制器。

但是，当我尝试将域控制器添加到计算机时，虽然域控制器地址是有效的，可到达的互联网子域（如“ad.ourcompany.com”），但无法find它。

在这里输入图像说明

这是详细的错误信息：

注意：这些信息是针对networkingpipe理员的。如果您不是networkingpipe理员，请通知pipe理员您已收到此信息，该信息已logging在文件C：\ Windows \ debug \ dcdiag.txt中。

当查询用于查找域ad.ourcompany.com的Active Directory域控制器的服务位置（SRV）资源logging的DNS时，发生以下错误：

错误是：“DNS名称不存在”。（错误代码0x0000232B RCODE_NAME_ERROR）

查询是针对_ldap._tcp.dc._msdcs.ad.ourcompany.com的SRVlogging

此错误的常见原因包括以下内容：

find域的AD DC所需的DNS SRVlogging未在DNS中注册。将AD DC添加到域时，这些logging会自动注册到DNS服务器。它们按设定的时间间隔由AD DC更新。此计算机被configuration为使用具有以下IP地址的DNS服务器：

109.188.207.9

109.188.207.10

以下一个或多个区域不包括对其子区域的委派：

ad.ourcompany.com

ourcompany.com com

。（根区）

有关更正此问题的信息，请单击“帮助”。

我错过了什么？

我是一个经验丰富的开发人员，但一个新手Sysdamin试验新的东西。

放弃

所有IP地址和域/子域已被更改以保证安全。如果有机会，你仍然可以看到私人信息，请让我知道，以便我可以改变它。

对于上帝的爱，不要有通过互联网访问的域控制器。这是乞求一场灾难。您需要在您的站点之间build立站点到站点的VPN，并确保您所在的AD所在的子网/子域不能通过除VPN以外的任何其他互联网访问。

在IPv4中，这意味着您的域控制器（以及您的整个内部networking）应该有一个私有路由地址，例如10.xxx 192.168.xx或172.16-31.xx ，而不是以公开路由的八位字节（如109 。

请不要只是在你的防火墙上打孔来完成这个工作。

线索出现在错误消息中，您计划join域的服务器需要使用将您的AD DNS区域作为其DNS服务器的DNS服务器。它看起来像他们正在使用一些公共DNS服务器，我猜是不是持有您的AD DNS区域的DNS服务器。

joeqwerty是现货。

为了电脑join域，它查找SRVlogging。如果客户端与DC位于同一站点，请更改客户端上的DNS以指向您的DC，否则请按照下面的详细信息进行操作。

我猜广告中的.ourcompany.com是你的DC的主机名？如果是这样，你应该尝试join域名，而不是放置广告。部分 – 仅指定域。

这听起来像你只有为你的服务器设置了Alogging。客户端PC首先查找_ldap._tcp.dc._msdcs.ourcompany.com，然后指向ad.ourcompany.com。（或yourdc.ad.ourcompany.com）

如果你创build了公共互联网上可以访问的SRVlogging，那么这应该消除这个错误。还请检查您的DC上的DNS，以获取AD设置所需的其他相关SRVlogging。

但是出于安全原因，我的意愿是在您的客户端PC所在的站点build立一个本地DNS服务器，该站点保存相关的SRVlogging，以便所有这些都不可用。

从IPv4networkingconfiguration中删除所有DNS服务器条目。然后添加您的dns服务器IPv4地址作为唯一的一个。也可能需要刷新dnscache。