locked
DNS em dois DCs com redes diferentes, help! RRS feed

  • Pergunta

  • Prezados,

    estou testando um ambiente que tenha DCs que controlem duas redes, onde na Rede A os usuários poderão logar nos computadores e terão acesso a sites internos através da rede interna e outra Rede B que terá acesso ao domínio, porém sem acesso aos sites pelo ip interno. Na figura abaixo é representado graficamente o que estou tentando fazer, porém a minha dificuldade é de encontrar uma forma de a Rede B não resolver os sites pelo ip interno, pois como o site está hospedado na rede A ele não irá acessar da Rede B, ele deve acessar pela rede externa com o IP "quente" do site. Como fazer isso? É possível ter outro servidor DNS para o mesmo domínio? O que me sugerem...

    segunda-feira, 11 de janeiro de 2016 19:48

Respostas

  • Fábio, 

    Imagina, é uma satisfação ajudar. Eu penso que a solução mais simples para seu ambiente é estabelecer uma relação de confiança entre esses domínios, assim, os usuários de um domínio que precisam acessar recursos no outro podem se autenticar e acessar esses recursos normalmente com seu próprio usuário e senha. Veja mais sobre relação de confiança no Technet no link abaixo:

    https://technet.microsoft.com/pt-br/library/cc772440.aspx

    Um abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT 
    Blog: www.gm9.com.br 

    • Marcado como Resposta Fábio B Z terça-feira, 12 de janeiro de 2016 13:44
    terça-feira, 12 de janeiro de 2016 13:28

Todas as Respostas

  • Olá Fabio, tudo joia?

    Dado esse cenário, a solução simples é utilizar um arquivo hosts para colocar essas exceções nessas estações externas, a resolução de nomes sempre começa pelo hosts. Você pode criar um script de inicialização via GPO que copie toda a vez que a estação inicia esses arquivos hosts de um local central. Agora, utilizando DNS propriamente no mesmo domínio, essa é uma solução complicada. As estações no mesmo domínio precisam obrigatoriamente resolver nomes no mesmo DNS do AD e eles fazem replicação junto com o AD, logo você nao tem uma resolução condicional possível nesse cenário, na minha opinião. Dá uma olhada na thread abaixo:

    https://social.technet.microsoft.com/Forums/en-US/c96968ee-3748-44f6-92b4-f992750abf50/host-file-deployment-through-group-policy

    Se a resposta fornecida nessa thread ajudou na sua solução, não esqueça de marcar como resposta!

    Abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT
    Blog: www.gm9.com.br
    segunda-feira, 11 de janeiro de 2016 22:14
  • Oi Gustavo, tudo bem!?

    Irei testar essa GPO nas estações, acredito que funcione perfeitamente para as estações, porém o que logo me veio em mente é o fato dessa segunda rede ter também rede wifi, dessa forma em celulares, por exemplo, eu continuaria com o problema.


    terça-feira, 12 de janeiro de 2016 11:44
  • Fabio, tudo joia?

    Se fosse repensar esse ambiente, eu criaria um domínio separado para suas redes internas e externas. Nessa situação, a vantagem de ter o mesmo domínio em estações consideradas internas e externas são pequenas, principalmente considerando que você provisionou dois controladores de domínio para cada tipo de rede separada. Essa sugestão simplificaria bastante seu ambiente, você poderia ter DNS separados e haveria um isolamento lógico de fato dos seus recursos internos e externos, você não iria nem expor os registros dos seus recursos internos críticos. Fica a sugestão para repensar.

    Em relação à rede wireless, se esses celulares precisam apenas ter acesso aos recursos externos e à internet, você pode colocar um escopo de DHCP separado e apontar para outro servidor DNS com os registros desse domínio com os IPs externos. Os celulares não tem a mesma necessidade de resolução de nomes que suas estações que estão no domínio, como acessar recursos no AD.

    Um abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT
    Blog: www.gm9.com.br 

    terça-feira, 12 de janeiro de 2016 13:06
  • Pois então Gustavo,

    esse estudo começou a fim de tendermos sempre para o "Login Único", ou seja, fazer com que os usuários tenham o mínimo de logins diferentes possíveis.

    Hoje temos dois domínios como você sugeriu, porém queríamos ter um único login para os usuários que tem acesso aos dois e por isso pensamos em um único domínio.

    Você consegue imaginar um cenário que fosse possível com 2 domínios? Replicação dos usuários para outro domínio é possível ou algo assim?

    Obrigado pela presteza de sempre.

    terça-feira, 12 de janeiro de 2016 13:21
  • vc não pensou em utilizar um firewall com controle de squid e nesse firewall adicionar as redes virtuais que vc necessita elas iriam se encontrar e vc poderia fazer os bloqueis pelos ips, e se for dhcp, adicione em reserva de ip com o numero do MAC e depois da as devidas negações de internet.
    terça-feira, 12 de janeiro de 2016 13:26
  • Fábio, 

    Imagina, é uma satisfação ajudar. Eu penso que a solução mais simples para seu ambiente é estabelecer uma relação de confiança entre esses domínios, assim, os usuários de um domínio que precisam acessar recursos no outro podem se autenticar e acessar esses recursos normalmente com seu próprio usuário e senha. Veja mais sobre relação de confiança no Technet no link abaixo:

    https://technet.microsoft.com/pt-br/library/cc772440.aspx

    Um abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT 
    Blog: www.gm9.com.br 

    • Marcado como Resposta Fábio B Z terça-feira, 12 de janeiro de 2016 13:44
    terça-feira, 12 de janeiro de 2016 13:28
  • Pelo que li, o que preciso em teoria é de uma relação de confiança unidirecional. Vou estudar e testar se isso dará certo. Muito obrigado.
    terça-feira, 12 de janeiro de 2016 13:47