Deux domaines et contrôleurs de domaine différents sur un seul réseau

10

J'essaie de déterminer s'il est possible d'avoir deux contrôleurs de domaine Active Directory en cours d'exécution sur le même réseau, au sein du même sous-réseau, avec deux domaines distincts. Je ne veux pas que ces deux contrôleurs de domaine soient liés de toute façon (comptes, etc.), sauf par le commutateur que j'ai connecté.

Ma préoccupation actuelle concerne le DNS - pour moi, c'est le principal problème. Étant donné que j'ai un seul serveur DHCP qui gère l'ensemble du réseau, je souhaite qu'un seul ensemble d'adresses IP de serveur DNS soit distribué à tous les clients. Cependant, le serveur DNS de DomainA ne pourra pas répondre aux requêtes pour DomainB, etc.

J'imagine que cela pourrait être résolu via des redirecteurs - IE, je pourrais définir les adresses IP des deux serveurs DNS dans ma configuration DHCP, puis dire à DomainA de transmettre les demandes de * .DomainB au DNS de DomainB, et vice-versa. Je pourrais également utiliser une seule agrégation qui transmet correctement les demandes aux serveurs individuels.

Cependant, je ne sais pas si cela fonctionnera, ou s'il existe une meilleure option. S'il s'agissait d'un réseau d'entreprise, j'irais de l'avant et configurerais des VLANS, plusieurs serveurs DHCP, etc. Cependant, je recherche la simplicité (autant de simplicité que vous pouvez obtenir avec un contrôleur de domaine dans votre maison ...)

La raison de l'exécution de deux contrôleurs de domaine sur le même réseau? Je dirige un laboratoire chez moi et j'ai maintenant convaincu la personne avec qui je vis de gérer son propre contrôleur de domaine. Cependant, je veux tout garder séparé pour des raisons de sécurité.

Toute aide est appréciée.

BSchlinker
la source

Réponses:

8

Les deux domaines n'interfèrent pas l'un avec l'autre sur le même réseau. Il n'y aura pas de confiance établie entre eux sauf si vous en établissez manuellement une.

Le problème DHCP est un point valide et votre solution potentielle est correcte - Vous pouvez distribuer l'adresse DNS d'un domaine via DHCP et utiliser un redirecteur pour résoudre l'espace de noms de l'autre domaine. Une autre solution consisterait à configurer manuellement la mise en réseau des clients sur l'un des domaines et à pointer manuellement leur DNS vers le contrôleur de domaine approprié. Vous pouvez laisser le client de l'autre domaine travailler à partir de DHCP.

Nous avons quelques sous-réseaux utilisés pour les tests internes et plus de 5 domaines différents s'exécutent dessus, aucun problème réel à signaler.

Chris Thorpe
la source
3

J'ai eu une réponse assez longue, tapée sur pourquoi vous ne devriez pas suivre cette voie, puis j'ai relu votre question et j'ai vu la partie où vous avez dit que c'était dans votre maison, alors voici ma réponse révisée:

Attribuez uniquement les serveurs DNS d'un domaine via DHCP. Sur ces serveurs DNS, configurez des redirecteurs conditionnels pour l'autre domaine ou créez une zone de stub pour l'autre domaine.

Je ne l'ai pas fait, donc je ne suis pas sûr à 100% que cela fonctionnerait, mais je ne vois aucune raison pour laquelle cela ne fonctionnerait pas.

joeqwerty
la source
3

Je viens de terminer cela pour un scénario de migration. Ça a marché ... Un peu.

La mise en garde à surveiller est le suffixe du nom de domaine. Si vous en spécifiez un, les clients auront du mal à résoudre certains noms d'hôtes. Alors n'en spécifiez pas un. De cette façon, les clients résoudront les noms d'hôtes en fonction du domaine auquel ils sont joints.

Mis à part cela, il suffit de configurer correctement vos redirecteurs conditionnels DNS et tout devrait bien se passer.

Jason Berg
la source
Vous n'avez pas à configurer l'option de suffixe DNS pour la portée DHCP. Laissés non configurés via DHCP, les clients DHCP doivent utiliser le suffixe DNS principal de leur appartenance au domaine. En fait, dans un domaine AD, il n'y a aucune raison de configurer une option de suffixe DNS dans la portée DHCP. Je ne configure cette option que lorsque je traite avec des clients n'appartenant pas à un domaine et que je souhaite avoir une résolution de nom DNS et un enregistrement de nom DNS communs.
joeqwerty
@joe - Je ne semble pas pouvoir -1 mon propre message, donc je viens de le corriger. Merci pour vos connaissances et votre contribution.
Jason Berg
Heureux de vous aider. +1 pour la réponse mise à jour.
joeqwerty
0

Je recommande de déplacer les services DNS vers un système Linux. Les domaines Windows ne sont pas la même chose que les domaines Internet, mais je vois des clients confondre cela tout le temps.

Et, moins votre environnement Windows est exposé à Internet, plus vous serez heureux.

Ralph H
la source