客户端从非Samba4子域DNS名称访问join域的服务器时的身份validation问题

自从我们大约3年前在主要办公室和所有远程站点推出了10个Samba4域控制器以来，我们一直在努力争取相当长的一段时间。

简化的电streamconfiguration：

• 2个主要站点的DC使用子域ad.companyname.com进行内部DNS
• 2 BIND CentOS服务器服务于所有的内部networkingDNS请求 – 主区域：companyname.com
• 2 BIND CentOS服务器服务所有外部站点的DNS请求 – 主区域：companyname.com

在这种configuration中，我们已经configuration了内部BIND服务器，让S4 AD DC内部DNS作为ad.companyname.com的权威，因此连接到BIND服务器的客户端可以解决Samba需要的任何东西。 这允许LAN上的所有客户端机器parsingAD创build的任何dynamicDNS地址，join域等，并且在configuration新的DC时很容易configuration。 （这对很多DC来说很重要）。

当我们configuration绑定到域的服务器时，客户端通过在主BIND DNS服务器上configuration的DNS条目来访问它们，因此它们具有像hostname.companyname.com这样的地址，客户端用来连接到服务器/服务。 他们也有由S4内部DNS创build的ad.companyname.com主机名，但是我们不指出这些名字的客户。

• 在Nginx中，将特定的子域映射到端口，redirect所有其他域
• DNS，子域和IPv6 – 是否可以将subdomain.example.com NSlogging添加到IPv6主机？
• Windows DNS：有没有办法根据子网对域进行分区
• 问题与DNS和子域名
• ServerName不能在Apache2和Ubuntu中工作

问题：

当绑定到AD时，一些服务（主要是我们目前注意到的OS X服务器）似乎不希望让客户端指向与samba子域名不同的DNS名称。 例如：

OS X 10.11（也试过10.6）绑定到AD的服务器，运行SMB文件服务器：

• 连接到fileserver.companyname.com时
  • 用户必须authentication为ad.companyname.com \短名称或
  • 用户必须authentication为[email protected]
  • 使用AD \ shortname不起作用
• 连接到fileserver.ad.companyname.com时
  • 用户可以authentication为短名称

另一个例子：

OS X Server 10.11绑定到AD，运行Profile Manager：

• 用户只需使用短名称即可对PHP Web界面进行身份validation
• 用户在使用AD凭证在iOS设备上注册时无法进行身份validation

笔记：

在第一个例子中，一个解决scheme是简单地将客户端指向fileserver.ad.companyname.com，但是pipe理层对这种想法是有抵制的。 在configuration文件pipe理器MDM的第二个示例中，服务器位于DMZ上，以便校外客户端仍连接到MDM，同时具有内部和外部DNS条目，因此面向公众的ad.companyname.com地址不是一个很好的select。

问题：

• build立一个WINS服务器的帮助吗？
• 将设置一个默认的search域从DHCP帮助？
• 有一种方法可以让Samba4 AD-Joined主机在基本域上有一个域名（实际上，不仅仅是指向相同IP的BIND上的单独logging）？
  • 如果是这样，是否有可能与内部DNS做到这一点？
• 有什么方法可以将Samba4 AD DNS直接与我的Intranet BIND DNS设置集成，以便join域的主机获得DNS名称而不是基本DNS域名（companyname.com）？