2 votes

Serveur AD dans un autre réseau - Problèmes de DNS

Voici un bref résumé de l'environnement que je gère : nous avons un domaine (domaine A) qui compte environ 20 ordinateurs clients. Le serveur de domaine de ce domaine et tous les clients se trouvent dans l'infrastructure réseau d'un plus grand domaine (domaine B). Tous les ordinateurs obtiennent leurs paramètres réseau via DHCP à partir des serveurs du domaine B. Je n'ai aucun contrôle et je ne suis pas en mesure de modifier quoi que ce soit en rapport avec le domaine B.

Le problème que j'ai est qu'actuellement, pour que les clients de mon domaine (domaine A) puissent résoudre le serveur de domaine et les partages sur celui-ci, ils ont leur adresse IP de serveur DNS définie sur le serveur de domaine du domaine A (via le GPO par défaut). Malheureusement, lorsqu'un ordinateur portable (Windows et Mac) est emporté chez lui, il recherche toujours le serveur de domaine comme serveur DNS et ne peut évidemment pas accéder correctement à Internet en dehors de notre environnement. Idéalement, j'ai besoin d'une solution où les machines utilisent le serveur du domaine A comme serveur DNS lorsqu'elles sont au bureau et utilisent le serveur DNS que DHCP leur donne lorsqu'elles sont à l'extérieur du bureau. Cependant, comme je n'ai aucun contrôle sur le serveur DHCP du bureau, je ne suis pas sûr de la façon dont cela peut être réalisé.

Toute aide et tout conseil que vous pourrez me donner seront les bienvenus.

Merci, Harry

P.S. La solution que j'essaie de trouver ne doit nécessiter aucune intervention de la part de l'utilisateur.

5voto

Evan Anderson Points 140581

La bonne réponse (tm) est de faire en sorte que les administrateurs du "Domaine B" créent une délégation dans leurs serveurs DNS pour la zone du "Domaine A". Tous vos problèmes sont alors résolus. Ce serait la solution la plus propre et la plus simple.

Si vous ne pouvez pas obtenir la coopération des administrateurs du "Domaine B" mais que vous pouvez obtenir la résolution de noms Internet par le biais des serveurs DNS du "Domaine B", je suppose que vous pouvez faire un sale tour comme le suivant :

  • Renommez le "Domaine A" en un sous-domaine d'un domaine Internet que vous possédez ("domaina.foo.com", où "foo.com" est un domaine que vous possédez).

  • Créez une délégation dans le DNS global pour "domaina.foo.com" vers les adresses IP privées des serveurs DNS du "Domaine A" ("domaina.foo.com NS 192.168.100.1", etc.).

  • Supprimez le paramètre de stratégie de groupe qui attribue les serveurs DNS du "Domaine A" aux clients (ce qui leur permet de résoudre le nom du "Domaine A" via des serveurs DNS Internet).

Cela permettra aux clients, lorsqu'ils résoudront le nom du "Domaine A" par l'intermédiaire des serveurs DNS Internet, d'obtenir un renvoi vers les serveurs DNS du réseau local pour le "Domaine A".

Cela va cependant créer de longs délais au démarrage, lorsque les clients sont retirés du site et démarrés sur d'autres réseaux, car le client va tenter de résoudre les noms "domaina.foo.com" en envoyant des requêtes DNS aux adresses IP (privées) des serveurs DNS qu'il reçoit du système DNS Internet. Vous pourriez résoudre ce problème en hébergeant le DNS de "foo.com" sur un serveur DNS qui offre des "vues" (comme bind) qui vous permettraient de rendre les enregistrements NS de "domaina.foo.com" sélectivement disponibles uniquement si les requêtes sont acceptées. disponibles uniquement si les requêtes proviennent des adresses IP publiques utilisées par les serveurs DNS du "Domaine B".

Ewww-- c'est UGLY mais cela devrait fonctionner !

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X