Tạo một miền phụ của miền công cộng của chúng tôi để sử dụng Active Directory nội bộ/công ty. Miền công cộng cũng là miền Office 365 và Azure của chúng tôi

Miền AD nội bộ hiện tại của chúng tôi là ví dụ.địa phương (được thiết lập từ lâu trước khi tôi gia nhập nhóm của chúng tôi khi đây là phương pháp hay nhất)

Miền Office 365 của chúng tôi là miền công khai, đã đăng ký với GoDaddy mà chúng tôi sử dụng cho email, điểm chia sẻ, nhóm, v.v. và đối tượng thuê Azure, gọi nó là ví dụ.com. Tôi biết phương pháp hay nhất hiện nay là thiết lập miền phụ của miền công khai và chúng tôi đồng ý với corp.example.com là miền phụ sẽ được sử dụng cho AD/DNS nội bộ của chúng tôi.

Tôi khá quen thuộc với DNS, mặc dù không phải là chuyên gia và tôi chưa bao giờ thiết lập tên miền phụ của tên miền công khai.

Trong các bước ngắn gọn, ai đó có thể vui lòng phác thảo cách thực hiện việc này không? Tôi đã đọc nhiều tài liệu hiện có và hầu hết tài liệu này đều đồng ý về mặt khái niệm với tên miền phụ, nhưng mâu thuẫn về cách thực sự thực hiện việc này. Chúng tôi không có nhiều người dùng doanh nghiệp, hầu hết trong số họ ở các trang web từ xa và không cần truy cập AD công ty của chúng tôi. AD của chúng tôi khá đơn giản, không có nhiều chính sách nhóm hay bất cứ thứ gì có thể bị mất khi tạo miền mới.

Tôi đang lên kế hoạch xóa tên miền example.local hiện tại của chúng tôi (sẽ không cố đổi tên nó) và thiết lập một máy chủ/DC mới cho tên miền phụ và AD. Tôi có khả năng quản lý DNS của chúng tôi trên GoDaddy, tôi chỉ cần biết các bước thích hợp và cách dịch ngược xuống AD.

Bất cứ ai ngoài đó có thể hướng dẫn tôi bằng cách cung cấp một phác thảo ngắn gọn về các bước cần thực hiện và thứ tự thực hiện chúng không? Tôi hơi bối rối về cách nói với AD và DNS nội bộ rằng đó là miền phụ của một miền đã đăng ký công khai.

Tôi không nghĩ việc chia tách dns não là cần thiết vì chúng tôi có một miền hoàn toàn khác không liên quan đến bất kỳ điều gì trong số này đối với trang web công khai của chúng tôi. Ngay bây giờ, khi mọi thứ ổn định, fqdn của máy chủ nội bộ của chúng tôi là server.example.địa phương. Kỳ vọng của tôi khi hoàn thành việc này là fqdn của máy chủ nội bộ của chúng tôi sẽ là server.corp.example.com. (như đã đề cập trước đây, example.com là miền chính, công khai mà tôi đang sử dụng để tạo miền phụ bên dưới.)

Cảm ơn trước cho bất kỳ sự giúp đỡ bạn có thể cung cấp. Máy chủ AD/DNS nội bộ cho tên miền phụ mới đang chạy tiêu chuẩn windows 2019.

Sharyn

Cá nhân tôi không biết tại sao có thể có lợi khi có một tên miền nội bộ corp.company.com thay vì, ví dụ, công ty.lan. Hoặc bất cứ điều gì khác thực sự. Nếu bạn biết bất kỳ lợi ích, xin vui lòng chia sẻ chúng.

Nếu bạn sử dụng tên miền phụ công cộng cho AD, bạn không phải thêm bất kỳ thứ gì vào cấu hình vùng DNS công cộng của mình. Nó quan trọng không phải xuất bản công khai bất kỳ hồ sơ nội bộ nào.

Ý tưởng tồi duy nhất là sử dụng tên miền công cộng của bạn công ty.com làm tên miền AD nội bộ. Khác với điều đó bạn sẽ ổn thôi

Tài liệu MSFT này phác thảo thiết lập cơ bản trong kịch bản tên miền phụ mà bạn mô tả: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772970(v=ws.10)

Bạn không cần phải "nói" với các DC của mình rằng chúng phụ thuộc vào khu vực thượng nguồn. Chỉ cần cài đặt vai trò AD và DNS, chỉ định miền FQDN và vai trò này sẽ định cấu hình vùng con là có thẩm quyền trên các DC trong khi thiết lập.

Quá trình thiết lập sẽ đưa ra cảnh báo nếu bạn đã định cấu hình máy khách DNS trên bộ điều hợp mạng của DC bằng một địa chỉ máy chủ DNS bên ngoài, bởi vì nó sẽ thử và đăng ký tên DNS mới của nó. Nhưng bỏ qua điều đó, DNS ngược dòng không cần biết về nó.

Đối với các tài nguyên được lưu trữ nội bộ cần được truy cập từ Internet, bạn sẽ phân bổ một IP công cộng và tên DNS công khai cho tài nguyên nội bộ của mình - như trang web hoặc VPN - và truy cập theo cách đó thay vì để lộ/ủy quyền không gian tên riêng tư ở tất cả - đó là điều chắc chắn nên tránh nếu có thể. Đây là tình huống được mô tả trong tài liệu MSFT. Điểm 4, bạn sẽ không cần phải lo lắng về việc tắt đăng ký động trên nhà cung cấp DNS của mình, vì tôi nghi ngờ rằng dù sao thì nó cũng đã được bật.

Quyết định chính sẽ là cách bạn thực hiện phân giải tên bên ngoài cho các thành viên miền của mình. Tất nhiên, các thành viên nên sử dụng DC làm máy chủ DNS của họ. Các DC sẽ cần phân giải tên trên internet. Lý tưởng nhất là các DC sẽ chuyển tiếp các truy vấn tới một nhà cung cấp DNS cụ thể - điều này giúp cuộc sống trở nên dễ dàng hơn khi nói đến tường lửa. Điểm 5 trong bài viết tôi đã liên kết thảo luận về các tùy chọn.

Tôi nghĩ trong trường hợp của bạn, bạn sẽ sử dụng DNS của ISP - tuy nhiên bạn đang làm điều đó ngay bây giờ. Bạn nên xem xét các nhà cung cấp dịch vụ DNS như OpenDNS hoặc Cloudflare cung cấp bảo mật DNS nếu nhà cung cấp hiện tại của bạn không cung cấp - bảo vệ bổ sung khỏi các trang web lừa đảo, v.v. thật tuyệt vời và các dịch vụ này có thể miễn phí hoặc khá rẻ. Chỉ cần đảm bảo rằng địa điểm bạn chọn có các điểm hiện diện tại địa phương (ít nhất là trên toàn quốc) nếu bạn đi tuyến đường đó. Dự phòng là để các DC sử dụng các gợi ý gốc, nhưng điều đó có nghĩa là họ cần thực hiện các truy vấn trên Internet và tôi chắc chắn thích OpenDNS, v.v. hơn tùy chọn đó. Bạn nên xác định nhiều người chuyển tiếp, trừ khi bạn biết rằng IP của người chuyển tiếp thực sự là một VIP với nhiều máy chủ bên dưới.

Tài liệu MSFT cũng có một số chương khác có thể đáng để xem qua. Tuy nhiên, những thứ như máy chủ gốc DNS nội bộ không liên quan trừ khi bạn định để lộ không gian tên nội bộ của mình và ủy quyền cho nó từ công ty đăng ký DNS ngược dòng của bạn. Một lần nữa, đó là một kịch bản bạn muốn tránh.

Ngoài ra, khi DC đầu tiên của bạn được cài đặt, trong cấu hình mạng, hãy nhớ kiểm tra IP của chính nó là máy chủ DNS chính, cộng với 127.0.0.1. Nếu trình chuyển tiếp DNS được thiết lập để chuyển tiếp các truy vấn tới DNS bên ngoài của bạn, tôi không nghĩ rằng bạn cũng cần xác định nó trong cấu hình mạng (tất nhiên là kiểm tra để xác minh rằng DC có thể phân giải các tên bên ngoài).

Đối với các DC tiếp theo, trước khi cài đặt ADDS, hãy định cấu hình mạng sao cho DC đầu tiên là DNS chính, sau đó là chính nó, sau đó là 127.0.0.1. Sau khi Thiết lập xong trên DC thứ hai và quá trình sao chép đã hoàn tất, hãy đảm bảo rằng DC đầu tiên có thể giải quyết vấn đề đó và đặt cấu hình mạng của nó sao cho DC thứ hai là máy chủ DNS đầu tiên (giữ lại các mục nhập khác).