DNS do Windows, subdomínio AD como zona separada, DCs registrados na zona errada

Quando algo (até e incluindo um DC) tenta registrar um registro DNS terminando com .inside.contoso.comseus servidores DNS, a solicitação corresponde a duas zonas e, portanto, é registrada em ambas, porque o servidor não sabe que estão relacionadas .

O que falta aqui é uma delegação para a inside.contoso.comzona na contoso.comzona; isso vai dizer ao servidor que inside.contoso.comé de fato um subdomínio de contoso.com, e assim um registro nessa zona só deve ser registrado ali.

Você precisa criar uma delegação e listar todos os controladores de domínio como delegados.

O problema:

A solução:

Então, eu me deparei com o mesmo problema alguns meses atrás, quando estava fazendo um laboratório virtual e, se não me falha a memória, o breve motivo pelo qual isso está ocorrendo é porque sua zona criada manualmente para contoso.com está integrada ao AD em seu interior. domínio contoso.com e replica para os DCs na zona inside.contoso.com e é por isso que você está vendo a pasta (semelhante à pasta do subdomínio _msdcs que existe em outros domínios). Por serem hosts que contoso.com conhece e fazem parte de um subdomínio, uma pasta com o nome do subdomínio é criada e os registros de host para o DC também são criados automaticamente, mas os outros registros de host em internal.contoso.com não tem conhecimento e também não tem autoridade de qualquer maneira, portanto, nenhum registro é criado automaticamente, como os DCs.

O problema de fazer isso (para o qual existe uma solução), descobri, é que quando você cria uma zona para um namespace externo, você DEVE manter registros para TODOS os dispositivos nessa zona, não apenas aqueles que você deseja crie registros para facilitar a resolução para seus hosts internos (lembre-se de que esta zona é autoritativa)

Este é um dos compromissos de usar subdomínios para design de domínio interno (Active Directory) versus um design de domínio de cérebro dividido. No entanto, ainda é melhor porque você terá um subdomínio válido para emitir certificados de terceiros para inside.contoso.com e namespaces DNS externos sem problemas.

A resolução mencionada anteriormente: Então, para resolver o problema de precisar de uma zona para resolver servidores externos para clientes internos (ou qualquer que seja o motivo), é fazer algo muito semelhante ao que você está fazendo agora, apenas em um manual, um por uma escala, chamada "Pinpoint DNS". O que você faz aqui é criar uma zona para CADA servidor para o qual deseja permitir a resolução. Isso pode parecer tedioso, mas se você tiver MUITOS servidores para os quais precisa de resolução interna, talvez queira apenas tornar essa zona não integrada e autorizada para anúncios (não tenho experiência nisso, talvez alguém possa sugerir o que isso implicaria)

Guia de DNS Pin-Point: Verifique o link abaixo para ajudá-lo a criar essas entradas manuais de zona única para resolver adequadamente os servidores externos para clientes internos, sem ter autoridade para todo o domínio externo: http://exchangenerd.com/2014/03/ pin-point-dns-split-dns-alternative/

Guia de nomenclatura do Active Directory (responde a muitas perguntas dos comentaristas): Para obter informações excelentes sobre por que usar subdomínios para design de domínio AD interno e outros motivos, consulte o link para o guia abaixo, de autoria de Maxmahem (muitos comentários estão perguntando por que você configurou as coisas dessa maneira e o guia abaixo, bem como as próprias práticas recomendadas da Microsoft para nomeação de AD, também abordam esses motivos):

https://docs.google.com/document/d/16xl2j-2Ns_JuQvFLG61Gw5iabz62LnTUKpCYtYn4f08/edit#heading=h.vw1qd8ol95y1