Essayer de join des servers (sur un réseau VPN distant) vers Active Directory sans renvoyer toutes les requêtes DNS sur le tunnel

Dans notre entreprise, nous avons une colocation dans un centre de données local (où nous hébergeons nos servers Web publics) et un VPN Site-to-Site mis en place entre la colocation et notre bureau. Nous souhaitons join les servers du datacenter dans notre Active Directory.

Si je comprends bien, l'adhésion au domaine s'appuie fortement sur le DNS. Je ne voudrais pas que les servers du centre de données résolvent leurs requêtes DNS dans le tunnel vers notre server DNS interne car cela réduirait les performances de la requête DNS (et aussi dans les cas où le tunnel est en panne).

Est-il possible que les servers résolvent toutes les requêtes DNS à l'aide de servers DNS publics (Google, ISP, etc.), sauf ceux qui sont internes à notre entreprise? Au lieu de cela, ceux-ci seraient transférés dans le tunnel vers notre server DNS interne? Dois-je héberger un server DNS à la place pour réaliser cette fonctionnalité? Ou y a-t-il un moyen plus simple de le faire?

Après tout, est-ce la solution correcte de la façon dont je devrais join notre réseau de colocation dans notre Active Directory?

Je ne recommand pas de join vos servers Web productifs situés dans le centre de données sur votre domaine local Active Directory sur le site! Si le lien est en panne ou que la connection à votre bureau est mauvaise, vous risquez de perdre l'access à ces servers!

Vous pouvez configurer le transfert de DNS sur le server DNS de votre centre de données pour votre domaine Active Directory local-local.

Par exemple, disons que votre domaine Active Directory s'appelle example.local et le server DNS Active Directory local-local a l'adresse IP 192.168.0.10. Accédez au server DNS de votre centre de données et configurez un redirecteur DNS par exemple.local à 192.168.0.10.

Chaque fois que vous adressez un ordinateur dans le domaine local example.local, le server DNS de votre centre de données transmettra la requête DNS à votre server DNS Active Directory local.

Maintenant, vous pourrez join le domaine. Vous devrez peut-être configurer un suffixe de domaine , si vous souhaitez omettre le nom de domaine et travailler uniquement en utilisant les noms d'hôte. Cela signifie que vous devez faire un ping sur server1.example.local , client1.example.com et joignez-vous à example.local et non seulement ping server1 et server2 et joint l' exemple .

C'est le genre de situation pour laquelle les controllers de domaine en lecture seule sont destinés. Comme il est en lecture seule, vous devriez dépendre de votre DC local-site pour join le domaine, mais après cela, le RODC pourrait gérer les connections pour vos servers colo. Cela permettrait également de gérer le DNS en lecture seule , même lorsque le tunnel descend.

Cette fonctionnalité nécessite Server 2008 ou supérieur, avec un niveau fonctionnel de domaine de 2003 ou supérieur. (J'espère que ce n'est pas un problème, étant donné que Server 2003 n'est pas en attente en juillet).