ตัวอย่างโดเมน AD ภายในปัจจุบันของเราท้องถิ่น (ตั้งขึ้นนานก่อนที่ฉันจะเข้าร่วมทีมของเราเมื่อนี่เป็นแนวทางปฏิบัติที่ดีที่สุด)
โดเมน Office 365 ของเราเป็นโดเมนสาธารณะที่จดทะเบียนกับ GoDaddy ซึ่งเราใช้สำหรับอีเมล แชร์พอยต์ ทีม ฯลฯ และผู้เช่า Azure เรียกว่าตัวอย่างคอม. ฉันรู้ว่าเป็นวิธีปฏิบัติที่ดีที่สุดในปัจจุบันในการตั้งค่าโดเมนย่อยของโดเมนสาธารณะ และเราโอเคกับ corp.example.com เป็นโดเมนย่อยที่จะใช้สำหรับ AD/ DNS ภายในของเรา
ฉันค่อนข้างคุ้นเคยกับ DNS แม้ว่าจะไม่เชี่ยวชาญก็ตาม และฉันไม่เคยตั้งค่าโดเมนย่อยของโดเมนสาธารณะเลย
ในขั้นตอนสั้น ๆ ใครช่วยกรุณาสรุปวิธีการดำเนินการนี้ได้ไหม ฉันได้อ่านเอกสารเท่าที่มีและส่วนใหญ่เห็นด้วยในแนวคิดเกี่ยวกับโดเมนย่อย แต่ขัดแย้งกับวิธีการดำเนินการจริง เรามีผู้ใช้ระดับองค์กรไม่มากนัก ส่วนใหญ่อยู่ในไซต์ระยะไกลและไม่จำเป็นต้องเข้าถึง AD ขององค์กรของเรา AD ของเราค่อนข้างเรียบง่าย ไม่มีนโยบายกลุ่มหรือสิ่งใดที่อาจสูญหายเมื่อสร้างโดเมนใหม่
ฉันวางแผนที่จะทำลายโดเมน example.local ปัจจุบันของเรา (จะไม่พยายามเปลี่ยนชื่อ) และตั้งค่าเซิร์ฟเวอร์ /DC ใหม่สำหรับโดเมนย่อยและ AD ฉันมีความสามารถในการจัดการ DNS ของเราบน GoDaddy ฉันแค่ต้องรู้ขั้นตอนที่เหมาะสมและวิธีแปลกลับเป็น AD
มีใครช่วยแนะนำฉันด้วยการให้รายละเอียดคร่าวๆ ของขั้นตอนที่ต้องดำเนินการและต้องดำเนินการอย่างไร ฉันสับสนเล็กน้อยเกี่ยวกับวิธีการบอก AD และ DNS ภายในว่าเป็นโดเมนย่อยของโดเมนสาธารณะที่ลงทะเบียน
ฉันไม่คิดว่า Split Brain DNS จะมีความจำเป็น เนื่องจากเรามีโดเมนที่แตกต่างกันโดยสิ้นเชิงซึ่งไม่เกี่ยวข้องกับสิ่งเหล่านี้สำหรับเว็บไซต์สาธารณะของเรา ในขณะนี้ fqdn ของเซิร์ฟเวอร์ภายในของเราคือ server.exampleท้องถิ่น. ความคาดหวังของฉันเมื่อฉันทำสิ่งนี้เสร็จแล้วคือ fqdn ของเซิร์ฟเวอร์ภายในของเราจะเป็น server.corp.exampleคอม. (ดังที่ได้กล่าวไว้ก่อนหน้านี้ example.com เป็นโดเมนสาธารณะหลักที่ฉันใช้สร้างโดเมนย่อยภายใต้)
ขอขอบคุณล่วงหน้าสำหรับความช่วยเหลือที่คุณสามารถให้ได้ เซิร์ฟเวอร์ AD/DNS ภายในสำหรับโดเมนย่อยใหม่กำลังเรียกใช้มาตรฐาน windows 2019
ชาริน
MSFT doco นี้สรุปการตั้งค่าพื้นฐานในสถานการณ์โดเมนย่อยที่คุณอธิบาย: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772970(v=ws.10)
คุณไม่จำเป็นต้อง "บอก" DC ของคุณว่าพวกมันอยู่รองจากโซนอัปสตรีม เพียงติดตั้งบทบาท AD และ DNS ระบุโดเมน FQDN จากนั้นระบบจะกำหนดค่าโซนย่อยให้เป็นสิทธิ์ใน DC ในระหว่างการตั้งค่า
การตั้งค่าจะให้คำเตือนหากคุณมีไคลเอ็นต์ DNS ที่กำหนดค่าบนอะแดปเตอร์เครือข่ายของ DC ด้วยที่อยู่โฮสต์ DNS ภายนอก เนื่องจากไคลเอ็นต์จะพยายามและลงทะเบียนชื่อ DNS ใหม่ แต่ไม่ต้องสนใจเรื่องนั้น DNS ต้นทางไม่จำเป็นต้องรู้
สำหรับทรัพยากรที่โฮสต์ภายในซึ่งจำเป็นต้องเข้าถึงจากอินเทอร์เน็ต คุณต้องจัดสรร IP สาธารณะและชื่อ DNS สาธารณะให้กับทรัพยากรภายในของคุณ เช่น เว็บไซต์หรือ VPN และเข้าถึงด้วยวิธีนั้นแทนที่จะเปิดเผย/มอบหมายเนมสเปซส่วนตัว เลย - เป็นสิ่งที่ควรหลีกเลี่ยงหากเป็นไปได้ นี่คือสถานการณ์ที่อธิบายไว้ใน MSFT doco ประเด็นที่ 4 คุณไม่ต้องกังวลเกี่ยวกับการปิดใช้งานการลงทะเบียนแบบไดนามิกบนผู้ให้บริการ DNS ของคุณ เนื่องจากฉันสงสัยว่ามันยังคงเปิดใช้งานอยู่
การตัดสินใจหลักคือวิธีที่คุณแก้ไขชื่อภายนอกสำหรับสมาชิกโดเมนของคุณ แน่นอนว่าสมาชิกควรใช้ DCs เป็นโฮสต์ DNS ของพวกเขา DCs จะต้องแก้ไขชื่อบนอินเทอร์เน็ต ตามหลักการแล้ว DC จะส่งต่อการสืบค้นไปยังผู้ให้บริการ DNS เฉพาะ ซึ่งจะทำให้ชีวิตง่ายขึ้นเมื่อต้องใช้งานไฟร์วอลล์ จุดที่ 5 ในบทความที่ฉันเชื่อมโยงกล่าวถึงตัวเลือกต่างๆ
ฉันคิดว่าในสถานการณ์ของคุณ คุณจะใช้ DNS ของ ISP ของคุณ อย่างไรก็ตาม คุณกำลังทำอยู่ในขณะนี้ คุณควรมองหาผู้ให้บริการ DNS เช่น OpenDNS หรือ Cloudflare ที่ให้การรักษาความปลอดภัย DNS หากผู้ให้บริการปัจจุบันของคุณไม่มี การป้องกันเพิ่มเติมจากไซต์ฟิชชิ่งและอื่นๆ นั้นดีมาก และบริการเหล่านี้อาจฟรีหรือไม่แพงนัก เพียงตรวจสอบให้แน่ใจว่าคุณเลือกมีจุดแสดงตนในท้องถิ่น (อย่างน้อยระดับประเทศ) หากคุณไปเส้นทางนั้น ทางเลือกคือการให้ DC ใช้คำแนะนำรูท แต่นั่นหมายความว่าพวกเขาจำเป็นต้องทำแบบสอบถามผ่านอินเทอร์เน็ต และแน่นอนว่าฉันต้องการ OpenDNS และอื่น ๆ มากกว่าตัวเลือกนั้น คุณควรกำหนดตัวส่งต่อหลายตัว เว้นแต่คุณจะรู้ว่า IP ตัวส่งต่อนั้นเป็น VIP ที่มีหลายโฮสต์อยู่ข้างใต้
MSFT doco ยังมีบทอื่นๆ อีกหลายบทที่อาจคุ้มค่าแก่การดู อย่างไรก็ตาม สิ่งต่างๆ เช่น เซิร์ฟเวอร์รูท DNS ภายในนั้นไม่เกี่ยวข้อง เว้นแต่คุณจะเปิดเผยเนมสเปซภายในของคุณและมอบหมายจากผู้รับจดทะเบียน DNS ต้นน้ำของคุณ นี่เป็นสถานการณ์ที่คุณต้องการหลีกเลี่ยงอีกครั้ง
นอกจากนี้ เมื่อคุณติดตั้ง DC ครั้งแรกแล้ว ในการกำหนดค่าเครือข่าย อย่าลืมตรวจสอบ IP ของตัวเองว่าเป็นโฮสต์ DNS หลัก บวกกับ 127.0.0.1 หากตัวส่งต่อ DNS ถูกตั้งค่าให้ส่งต่อการสืบค้นไปยัง DNS ภายนอกของคุณ ฉันคิดว่าคุณไม่จำเป็นต้องกำหนดไว้ในการกำหนดค่าเครือข่ายด้วย (ทดสอบเพื่อตรวจสอบว่า DC สามารถระบุชื่อภายนอกได้)
สำหรับ DC ที่ตามมา ก่อนที่จะติดตั้ง ADDS ให้กำหนดค่าเครือข่ายเพื่อให้ DC ตัวแรกเป็น DNS หลัก จากนั้นจึงติดตั้งตัวมันเอง ตามด้วย 127.0.0.1 เมื่อตั้งค่าใน DC ที่สองและจำลองแบบเสร็จแล้ว ตรวจสอบให้แน่ใจว่า DC แรกสามารถแก้ไขได้ และตั้งค่าเครือข่ายเพื่อให้ DC ที่สองเป็นโฮสต์ DNS แรก (เก็บรายการอื่น ๆ ไว้)
โดยส่วนตัวแล้วฉันไม่รู้ว่าเหตุใดการตั้งชื่อโดเมนภายในจึงมีประโยชน์ corp.company.com แทน เช่น company.lan. หรืออย่างอื่นจริงๆ หากคุณทราบประโยชน์ใด ๆ โปรดแบ่งปัน
หากคุณใช้โดเมนย่อยสาธารณะสำหรับ AD คุณไม่จำเป็นต้องเพิ่มอะไรในการกำหนดค่าโซน DNS สาธารณะของคุณ มันเป็นสิ่งสำคัญ ไม่ เพื่อเผยแพร่บันทึกภายในต่อสาธารณะ
ความคิดที่ไม่ดีเพียงอย่างเดียวคือการใช้ชื่อโดเมนสาธารณะของคุณ บริษัท.คอม เป็นชื่อโดเมน AD ภายใน นอกจากนั้นคุณจะสบายดี
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
