Dos dominios y controladores de dominio diferentes en una sola red

10

Estoy intentando determinar si es posible tener dos controladores de dominio de Active Directory ejecutándose en la misma red, dentro de la misma subred, con dos dominios separados. No quiero que estos dos controladores de dominio estén vinculados de todos modos (cuentas, etc.), excepto por el interruptor que los conecté.

Mi preocupación actual se refiere al DNS; en lo que a mí respecta, este es el principal problema. Como tengo un único servidor DHCP que maneja toda la red, quiero que se entregue un conjunto de direcciones IP del servidor DNS a todos los clientes. Sin embargo, el servidor DNS de DomainA no podrá responder consultas para DomainB, y así sucesivamente.

Me imagino que esto podría resolverse a través de reenviadores: es decir, podría establecer las direcciones IP de ambos servidores DNS en mi configuración de DHCP y luego decirle a DomainA que reenvíe las solicitudes de * .DomainB al DNS de DomainB, y viceversa. También podría usar una agregación única que reenvíe correctamente las solicitudes a los servidores individuales.

Sin embargo, no sé si esto funcionará, o si hay una mejor opción. Si se tratara de una red comercial, seguiría adelante y configuraría VLAN, múltiples servidores DHCP, etc. Sin embargo, estoy buscando la simplicidad (tanta simplicidad como pueda lograr con un controlador de dominio en su casa ...)

¿La razón para ejecutar dos controladores de dominio en la misma red? Dirijo un laboratorio en mi casa y ahora he convencido a la persona con la que vivo para que ejecute un controlador de dominio propio. Sin embargo, quiero mantener todo segregado por razones de seguridad.

Cualquier ayuda es apreciada.

BSchlinker
fuente

Respuestas:

8

Los dos dominios no interferirán entre sí en la misma red. No habrá confianza establecida entre ellos a menos que establezca manualmente uno.

El problema de DHCP es un punto válido, y su posible solución es correcta: puede entregar la dirección DNS de un dominio a través de DHCP y utilizar un reenviador para resolver el espacio de nombres del otro dominio. Una solución alternativa sería configurar manualmente la red para los clientes en uno de los dominios y apuntar su DNS manualmente al controlador de dominio correcto. Puede dejar que el cliente del otro dominio trabaje desde DHCP.

Tenemos algunas subredes que se utilizan para pruebas internas y tenemos más de 5 dominios diferentes ejecutándose en ellas, no hay problemas reales de los que hablar.

Chris Thorpe
fuente
3

Tuve una respuesta bastante larga escrita sobre por qué no deberías ir por este camino, y luego releí tu pregunta y vi la parte donde dijiste que esto está en tu casa, así que aquí está mi respuesta revisada:

Asigne solo los servidores DNS de un dominio a través de DHCP. En esos servidores DNS, configure reenviadores condicionales para el otro dominio o cree una zona de código auxiliar para el otro dominio.

No he hecho esto, así que no estoy 100% seguro de que funcione, pero no puedo pensar en ninguna razón por la que no funcionaría.

joeqwerty
fuente
3

Acabo de terminar de hacer esto para un escenario de migración. Funcionó ... un poco.

La advertencia a tener en cuenta es el sufijo de nombre de dominio. Si especifica uno, los clientes tendrán dificultades para resolver algunos nombres de host. Entonces no especifique uno. De esa manera, los clientes resolverán los nombres de host en función del dominio al que están unidos.

Aparte de eso, solo configura tus reenviadores condicionales DNS correctamente y estarás bien.

Jason Berg
fuente
No tiene que configurar la opción de sufijo DNS para el alcance DHCP. Si no se configura a través de DHCP, los clientes de DHCP deben usar el sufijo DNS principal de su membresía de dominio. De hecho, en un dominio AD no hay ninguna razón para configurar una opción de sufijo DNS en el ámbito DHCP. Solo configuro esta opción cuando trato con clientes que no están unidos al dominio y quiero tener una resolución de nombre DNS común y registro de nombre DNS.
joeqwerty
@joe: parece que no puedo -1 mi propia publicación, así que la he corregido. Gracias por su conocimiento y aporte.
Jason Berg
Encantado de ayudar. +1 para la respuesta actualizada.
joeqwerty
0

Recomiendo mover los servicios de DNS a un sistema Linux. Los dominios de Windows no son lo mismo que los dominios de Internet, pero veo que los clientes confunden esto todo el tiempo.

Y, cuanto menos expuesto esté su entorno de Windows a Internet, más feliz será.

Ralph H
fuente