我正在为大学的部门设置一个新的Active Directory实例。 在以前的工作(NT4 / 2k / 2003)中,我有一些pipe理域的经验,但是我们的环境有两个独特的地方:networking是100%的公有IP地址空间 (实际上没有防火墙,所有DNS都是公有DNS)和DNS是集中pipe理 (UNIX上的BIND,他们不会委托我一个子域,也不允许dynamicDNS更新到他们的服务器。)
由于没有私人或拆分的DNS是可能的,我的域(ad.dept.univ.edu)的SRVlogging将可以通过公共DNS访问。 虽然DNS是公开的,但是我将防火墙只允许校园内的机器连接到我的域控制器。 我将有两个运行Windows Server 2008 R2的AD控制器。 这基本上是一个仅用于身份validation的域,我们不运行Windows文件服务器,大多数客户端计算机永远不会join域或直接对域控制器进行身份validation。 这个域将主要为设备和应用程序提供集中的AD集成authentication。
如果您认为Samba4 + OpenLDAP可以完成这个任务,我绝对有兴趣,但是请自问一个新的wiki问题,而不是在这里回答。
听起来很像我的环境,只有我有DNS委派。
build立一个不需要dynamicDNS的AD DNS环境是非常困难的。 您必须手动填充所有SRVlogging,以及该域所需的NS和Alogging。 PTRlogging并不重要。 既然你不打算从域中添加或删除机器,那么从长远来看这甚至是可以支持的。
不要冒汗公共IP地址空间。 这就是防火墙的用途。 只因为邪恶的公司可以看着你,并不意味着他们可以触碰你。
我已经做到了这一点,并通过我的DNS服务器上的webminpipe理它。 *通过webmin添加DNSlogging是非常容易的。 比通过configuration文件手动完成要好得多。
服务logging需要:
名称TTL优先权重端口服务器
gc.tcp.domain 600 0 100 3268 server-name.domain。
kerberos.tcp.dc._msdcs.domain。 600 0 100 88 server-name.domain。
kerberos.tcp.domain。 600 0 100 88 server-name.domain。
kerberos.udp.domain。 600 0 100 88 server-name.domain。
kpasswd.tcp.domain。 600 0 100 464 server-name.domain。
kpasswd.udp.domain。 600 0 100 464 server-name.domain。
ldap.tcp.dc._msdcs.domain。 600 0 100 389 server-name.domain。
ldap.tcp.gc. msdcs.domain。 600 0 100 3268 server-name.domain。
ldap.tcp.pdc .msdcs.domain。 600 0 100 389 server-name.domain。
ldap.tcp.domain。 600 0 100 389 server-name.domain。
ldap.tcp.domain。 600 0 100 3268 server-name.domain。
msdcs.tcp.domain。 600 0 100 389 server-name.domain。
全选。 | 反转select。
除了您的服务logging,您还需要相应的Alogging:
gc._msdcs.domain。 600 IP地址
也不要忘了在你的AD服务器上通过cmd行注册你的DNS:ipconfig / registerdns
如果它仍然不起作用,那么在你的AD服务器上的事件查看器中将会有明确的消息,指出它试图打的什么DNSlogging。
User56886大部分是让我开始正确的轨道,但这里是我的域名(dept.univ.edu)和我的主动目录控制器(ad.dept)的DNSlogging(注意前导下划线)的完整列表。 univ.edu)。 TTL / Weights / Priority取决于你,我使用了600,0,100以下。
_service._proto.name TTL类SRV优先权重端口目标 _gc._tcp.dept.univ.edu。 600 IN SRV 0 100 3268 ad.dept.univ.edu。 _gc._tcp.Default-First-Site-Name._sites.dept.univ.edu。 600 IN SRV 0 100 3268 ad.dept.univ.edu。 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu。 600 IN SRV 0 100 88 ad.dept.univ.edu。 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu。 600 IN SRV 0 100 88 ad.dept.univ.edu。 _kerberos._tcp.dc._msdcs.dept.univ.edu。 600 IN SRV 0 100 88 ad.dept.univ.edu。 _kerberos._tcp.dept.univ.edu。 600 IN SRV 0 100 88 ad.dept.univ.edu。 _kerberos._udp.dept.univ.edu。 600 IN SRV 0 100 88 ad.dept.univ.edu。 _kpasswd._tcp.dept.univ.edu。 600 IN SRV 0 100 464 ad.dept.univ.edu。 _kpasswd._udp.dept.univ.edu。 600 IN SRV 0 100 464 ad.dept.univ.edu。 _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.dept.univ.edu。 600 IN SRV 0 100 389 ad.dept.univ.edu。 _ldap._tcp.Default-First-Site-Name._sites.dc.dept.univ.edu。 600 IN SRV 0 100 389 ad.dept.univ.edu。 _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.dept.univ.edu。 600 IN SRV 0 100 3268 ad.dept.univ.edu。 _ldap._tcp.dc._msdcs.dept.univ.edu。 600 IN SRV 0 100 389 ad.dept.univ.edu。 _ldap._tcp.dept.univ.edu。 600 IN SRV 0 100 389 ad.dept.univ.edu。 _ldap._tcp.gc._msdcs.dept.univ.edu。 600 IN SRV 0 100 389 ad.dept.univ.edu。 _ldap._tcp.pdc._msdcs.dept.univ.edu。 600 IN SRV 0 100 389 ad.dept.univ.edu。
另外,还有两个logging(SRVlogging和CNAME),它们依赖于为您的域生成的SECID:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu CNAME ad.dept.univ.edu。 _ldap._tcp.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.dept.univ.edu。 600 IN SRV 0 100 389 ad.dept.univ.edu。
另外,你(显然)需要一个你的域控制器的logging。
参考: Oreilly Active Directory第5版第154页(也可通过Safari Books Online获得 )。
我将在要用作域控制器的计算机上安装DNS服务器,并让域控制器自动填充srvlogging,以便您拥有可以给绑定pipe理员的副本。 在此之后,听起来好像区域数据可能相当静态,你应该能够拆卸Windows的DNS服务器。
您提出问题的方式使得听起来好像校园中可能还有其他基于Active Directory的森林。 他们如何解决他们的DNS问题? 有没有机会join现有的域名/森林?
这是可能的,虽然你的整个基础设施都暴露在公共互联网的事实是不是有点可怕。
如果我在这种情况下,我将我的ADI所需的区域复制到本地pipe理(即,我的)BIND框,然后configuration视图,只允许从您的“已知的”IP空间访问从属的ADI区域。 如果企业不愿意为一些额外的BIND服务器提供非常适中的投资,那么我将logging下我试图说服pipe理层将您的AD基础设施暴露给互联网有多糟糕,并准备好我的简历。 因为这是一个巨大的,火热的爆炸…