Доверие доменов - как видеть компьютеры другого домена по короткому имени DNS

Имеется: несколько доменов с настроенными доверительными отношениями между собой. Все работает, но компьютер, находящийся в домене DomainA, не может видеть компьютер из Domain2 по короткому имени (ну это, на самом деле, логично). Например, комп Comp1.DomainA не видит комп Comp2.DomainB, обращаясь к нему просто Comp2.


Однако существуют, так сказать, ситуации. Пример: сервер SERVER.DomainA должен быть доступен из DomainB. При этом невыгодно или нельзя его привязывать по статическому IP адресу, а в DomainB прописывать отдельную А-запись в DNS - не айс (ведь серверов и компов может быть несколько).


Почему

Происходит такое поведение по причине того, что имя компьютера, входящего в домен Active Directory, по факту (FQDN) - не Comp1, а Comp1.DomainA (или Comp1.DomainA.local или типа того). Поэтому когда происходит резолв IP-адреса по короткому имени компьютера - Windows-машина автоматически пытается подставить DNS-суффикс. Это суффикс (если другого не определено в групповых политиках) - это сам домен Active Directory.

Например, если имя компьютера - это Comp1, и он находится в домене DomainA, то полностью имя компьютера - это Comp1.DomainA. И если мы пытаемся с компьютера Comp1 (Comp1.DomainA) пытаемся получить доступ к компьютеру Comp2, то, по факту, Windows ищет Comp2.DomainA, а не Comp2.DomainB. Тобишь она ищет комп в своем домене (это логично).

Однако в домене мы можем задать и другое поведение: мы можем указать компьютерам целый набор DNS-суффиксов, которые проверять. Если не нашелся компьютер с одним суффиксом - то проверяется следующий. Более того, делается это все через групповые политики домена, поэтому даже не нужно на каждый компьютер логиниться - сразу все (или все то, что попадает под конкретную политику) получит указания.


Решение

Открываем на контроллере домена редактор групповых политик, создаем новую политику или изменяем существующую. Наша цель - чтобы эта политика действовала на компьютеры домена и применяла параметры конфигурации компьютера.

Теперь открываем политику на редактирование и идем по следующему пути:
Конфигурация компьютера\
Политики\
Административные шаблоны\
Сеть\
DNS-клиент

и изменяем политику "Порядок просмотра DNS-суффиксов". Включаем ее и вводим нужные DNS-суффиксы в порядке, который Вам необходим, через запятую.

Например, если мы работаем с доменом DomainB.local и хотим, чтобы так-же были видны компьютеры из DomainA и DomainC.ru, то строка настройки будет выглядить вот так:

Т.е. свой домен указываем в первую очередь.

Тогда Windows, при попытке отрезолвить IP адрес компа CompX, сначала попытается запросить DNS-сервер как CompX.DomainB.local, если не получилось - то тогда CompX.DomainA, если снова не получилось - то CompX.DomainC.ru.



ЗЫ. Естественно, что на DNS-сервере домена, с которым Вы работаете, уже должны быть настроены условные серверы пересылок или он как-то по-другому должен уметь резолвить чужие DNS-зоны (например, через дополнительные зоны).