我正在尝试在Windows Server 2012 R2上设置域控制器。 我读到,最佳实践是不使用组成顶级域名(如.local,.lan等),而是使用你实际拥有的东西(如mysite.com)。 我通过namecheap.com注册了一个域,他们做邮件托pipe和DNS。 我没有一个静态IP地址(它很less改变,但它是可能的)。 我想继续使用他们的DNS(我只有几个logging,@和www,但可能会在未来添加更多)。 如果我的IP地址发生变化,我使用一个更新DNS的工具。 我决定我将做我的域控制器dc.mysite.com的根。
人们通常在他们的公开面对的DNS中有类似AD.mysite.com或DC.mysite.com的东西吗? 我宁愿将它parsing为192.168.1.x,而不是面向Internet的IP。
看来我需要委托到域控制器的子域。 DNSangular色将安装在同一台服务器上。 这只会是域控制器。 我想在本地创build一个子域(只有面向内部网),而不涉及我的DNS提供商(namecheap.com) – 这可能吗? 我宁愿只保留内部网,让@和www的查询通过,让namecheap.com的DNS是权威的。
除非您打算使用公共DNSparsing器为机器提供与Active Directory相关的服务(这是不明智的,因为AD的安全状态不是直接暴露给公共Internet),您不需要公开您的AD DNS名称空间到Internet。 通常,您所有的域成员计算机(包括域控制器(DC)计算机)都应该在森林中的DC上运行DNS服务器。 这些服务器通常会被Intenrnet防火墙挡住。
你在最后一段中说的是或多或less是正确的。 当你说“…”,让@和www的查询通过…“,这似乎暗示你认为你必须做点什么。假设你不在你的程序中创build一个”mysite.com“区域DC的DNSconfiguration,DNS服务器服务将自动recursionparsing任何非权威的域名。
你是正确的,因为目前的传统观点(被广泛认为是最佳做法)是使用公有领域的未使用的子域名作为AD。 对于所有关系停止的意图和目的。 您的公共DNS和您的AD DNS不需要互操作。 您在技术上不需要将子域委托给您的AD DNS服务器,因为您的公共DNS和您的AD DNS应作为单独的名称空间进行pipe理。 您不应该将您的AD DNS服务器暴露给互联网。
如果您的AD域名为ad.mysite.com则您的AD DNS服务器对ad.mysite.com具有权威性。 它不是mysite.com权威。 任何对mysite.com资源的内部请求都将由您的外部DNS服务器解决。