Eu tenho que construir uma nova infraestrutura para a empresa. Atualmente , há roteador Gateway/NAT conectado à INTERNET e fornece LAN SUBNET (DHCP, DNS, RevDNS, OpenVPN e alguns mais não importantes) dentro desta sub-rede, tenho samba NT4 PDC com servidor de arquivos e algumas estações de trabalho, impressoras e outros dispositivos ( na mesma sub-rede). Desejo migrar o domínio NT4 para o domínio AD-DC (ou criar um novo, se for mais fácil). Eu sei que o samba tem serviço DNS próprio (posso fornecer FQDN para DC) e não sei como configurá-lo.
- Preciso executar o DHCP em DC ou em GATEWAY?
- O samba DC DNS fornece DNS estático para outros dispositivos na rede na mesma sub-rede?
- Posso executar o samba DC em uma interface ou preciso de uma segunda (precisa ser NAT para computadores de domínio)
- E quanto aos dispositivos móveis, os usuários podem usar dispositivos fora das redes?
- Como fornecer VPN para usuários externos acessarem o servidor de arquivos, precisa de configuração especial para DC DNS?
O DHCP é totalmente independente do Active Directory; ele pode ser executado em qualquer sistema que você desejar.
Sim; os computadores membros do domínio se registrarão automaticamente no AD DNS, e você também pode adicionar entradas estáticas personalizadas por meio do RSAT ou da ferramenta samba.
Os dispositivos não precisam estar na mesma sub-rede.
O número de interfaces não importa. O controlador de domínio não é um roteador (ao contrário dos "servidores LAN" dos anos 1980) – o Active Directory DC executa serviços baseados em TCP/UDP padrão e os dispositivos só se conectam a ele quando precisam recuperar algumas informações do diretório.
Além disso, ao contrário dos antigos domínios NT4, o Active Directory não usa NetBIOS e não possui sub-rede específica ou requisitos de roteamento. O DC só precisa ser acessível por meio de IP unicast regular.
Tecnicamente, sim. Os protocolos AD usam TCP/UDP padrão e não são restritos a uma única LAN.
No entanto, os dispositivos devem usar VPN para se conectar à sua rede por motivos de segurança. (Alguns protocolos AD – DNS, Kerberos, LDAPS – podem ser seguros para expor; outros como RPC ou CLDAP – nem tanto. Provavelmente não é a melhor ideia permitir conexões externas ao DC.)
Observe que o Windows armazenará as credenciais por cerca de 14 dias após cada logon bem-sucedido, para que os laptops móveis possam funcionar por curtos períodos de tempo, mesmo sem acesso ao DC.
Assim como nas sub-redes locais, a VPN não precisa de roteamento especial, apenas acesso unicast comum.
Quanto ao DNS, o principal requisito é que os dispositivos clientes sejam capazes de resolver os nomes AD DNS. Você pode conseguir isso de diferentes maneiras – enviando endereços DNS internos para clientes VPN ou configurando o domínio com um nome registrado globalmente (como "ad.example.com"). (Eu recomendaria fazer os dois.)
Vários sites dizem que os dispositivos clientes devem usar o AD DC DNS diretamente, mas isso não é um requisito estrito. Não há nada de especial no AD DNS que exija que as consultas sejam feitas diretamente.