Temos 6 sites AD diferentes, todos conectados por túneis IPSec em uma malha completa, além de um escritório que não pode se conectar ao nosso data center por motivos estúpidos relacionados ao ISP que não podem ser corrigidos atualmente. Temos DNS integrado ao AD e existem dois servidores web, com IPs públicos, que replicam o endereço interno em nossos sites AD e são acessados através dos túneis IPSec. Como esses dois servidores estão em nosso DC, o site que não pode se conectar ao DC não consegue acessar esses dois sites.
Precisamos replicar o restante de nosso AD DNS para este site, portanto, remover a replicação não é uma opção. Esses sites também estão no DNS de nosso domínio principal, e atualizá-los para usar um nome alternativo ou um sufixo de domínio alternativo não é uma opção viável, pois interromperá os links para este escritório.
Existe uma maneira de fazer com que esse site use registros DNS alternativos e não os replique no AD?
Minha melhor opção é GPO em todos os computadores cliente/servidor nesse site para adicionar o IP público desses dois hosts ao arquivo de hosts locais?
Isso não precisa ser uma correção permanente e elegante, pois mudaremos os ISPs em breve (ish). Eu só preciso de algo que seja estável e confiável para este escritório no futuro de médio prazo.
Para esclarecer: Toronto e Nova York podem conversar com Tóquio, entre si e com o data center. Tóquio pode falar com Toronto e Nova York, mas não com o data center. Temos recursos em cada site, bem como a replicação do AD, que precisam ser acessados de todos os outros sites.
Dois desses recursos estão em nosso data center e possuem IPs públicos, bem como IPs internos, e usam o mesmo nome de host interna e externamente. Esse nome de host está integrado ao nosso DNS do Active Directory. Todo o acesso de Nova York e Toronto a esses sites é feito por meio de endereços IP internos.
Precisamos que Tóquio acesse esses dois hosts por meio de seu IP público, não interno. Não podemos usar nomes de host diferentes, pois esses sites são fortemente integrados em nossos outros aplicativos, comunicações, etc.
Se entendi sua pergunta corretamente, você precisa de dois servidores DNS em dois locais diferentes para responder à mesma consulta com duas respostas diferentes, cada uma específica para sua localização; este registro está localizado em uma zona integrada ao AD que é replicada em ambos os servidores DNS, e você gostaria de desativar a replicação apenas para este registro, para poder distribuir respostas diferentes de servidores diferentes.
Se for esse o caso, sua solução é criar um subdomínio em vez de um registro A e configurá-lo como zona primária em ambos os servidores, sem integração com o AD; em seguida, em cada zona, crie um registro sem nome apontando para o endereço IP correto; um registro sem nome responde a solicitações para o nome da zona, portanto, será efetivamente equivalente a um registro A na zona de nível superior.
Exemplo:
Seu domínio é
domain.local; esta é uma zona integrada ao AD.Seu DC/DNS no Site 1 é chamado de DC1. Seu DC/DNS no Site 2 é chamado de DC2. Seu registro é
server.domain.local; você precisa apontar para 10.20.30.40 se solicitado para DC1, mas precisa apontar para 192.168.90.42 se solicitado para DC2.server.domain.local; então, nesta zona, crie um registro A sem nome apontando para 10.20.30.40.server.domain.local; então, nesta zona, crie um registro A sem nome apontando para 192.168.90.42.Desta forma, quando DC1 for solicitado
server.domain.local, ele responderá com 10.20.30.40; se a mesma consulta for feita ao DC2, ele responderá com 192.168.90.42.Você poderia fazer o seguinte:
Sinceramente, nunca tive que fazer isso, mas parece ser a maneira de buscar o que você perguntou especificamente. Teste-o.
Claro, isso é um pouco hackey. Você pode postar um diagrama ou algo assim? Tenho a sensação de que existe uma resposta mais simples.