Active Directory опирается на правильно настроенную и функциональную инфраструктуру DNS . Если у вас проблема с Active Directory, есть вероятность, что у вас проблема с DNS. Первое, что вы должны проверить, это DNS. Второе, что вы должны проверить, это DNS. Третье, что вы должны проверить, это DNS.
Что именно DNS?
Это сайт для профессионалов, поэтому я предполагаю, что вы хотя бы прочитали отличную статью в Википедии . Короче говоря, DNS позволяет найти IP-адреса путем поиска устройства по имени. Очень важно, чтобы Интернет функционировал так, как мы его знаем, и он работает на всех, кроме самых маленьких локальных сетей.
DNS, на самом базовом уровне, разбит на три основных части:
DNS-серверы: это серверы, на которых хранятся записи всех клиентов, за которых они отвечают. В Active Directory вы запускаете роль DNS-сервера на контроллере домена.
Зоны: копии зон хранятся на серверах. Если у вас есть имя AD ad.example.com, то на контроллерах домена есть зона с установленным DNS-именем ad.example.com. Если у вас есть компьютер с именем, computerи он был зарегистрирован на этом DNS-сервере, он создаст DNS-запись с именем computerв, ad.example.comи вы сможете получить доступ к этому компьютеру через полное доменное имя (FQDN), которое будетcomputer.ad.example.com
Записи: как я уже упоминал выше, зоны содержат записи. Запись сопоставляет компьютер или ресурсы с определенным IP-адресом. Самым распространенным видом записи является запись A, которая содержит имя хоста и IP-адрес. Вторым наиболее распространенным являются записи CNAME. CNAME содержит имя хоста и другое имя хоста. Когда вы ищите hostname1, он выполняет другой поиск и возвращает адрес для hostname2. Это полезно для скрытия таких ресурсов, как веб-сервер или общий файловый ресурс. Если у вас есть CNAME для, intranet.ad.example.comа сервер за ним меняется, каждый может продолжать использовать имя, которое он знает, и вам нужно только обновить запись CNAME, чтобы указать на новый сервер. Полезно, а?
Хорошо, как это связано с Active Directory?
Когда вы устанавливаете Active Directory и роль DNS-сервера на свой первый контроллер домена в домене, он автоматически создает две зоны прямого просмотра для вашего домена. Если ваш домен AD такой же, ad.example.comкак в примере выше ( обратите внимание, что вы не должны использовать просто « example.com» в качестве имени домена для Active Directory ), у вас будет зона для ad.example.comи _msdcs.ad.example.com.
Что делают эти зоны? БОЛЬШОЙ ВОПРОС! Начнем с _msdcsзоны. Он содержит все записи, необходимые клиентским компьютерам для поиска контроллеров домена. Он включает в себя записи, чтобы найти сайты AD. В нем есть записи для разных держателей ролей FSMO. Он даже хранит записи для ваших серверов KMS, если вы запускаете эту дополнительную службу. Если этой зоны не существует, вы не сможете войти на свои рабочие станции или серверы.
Что ad.example.comдержит зона? Он содержит все записи для ваших клиентских компьютеров, рядовых серверов и записи A для ваших контроллеров домена. Почему эта зона важна? Так что ваши рабочие станции и серверы могут общаться друг с другом в сети. Если бы этой зоны не было, вы, вероятно, могли бы войти в систему, но вы не смогли бы ничего сделать, кроме как просматривать Интернет.
Как получить записи в этих зонах?
Ну, к счастью для тебя, это легко. Когда вы устанавливаете и настраиваете параметры DNS-сервера во время dcpromo, вы должны разрешить, Secure Updates Onlyесли есть возможность выбора. Это означает, что только известные присоединенные к домену ПК могут создавать / обновлять свои записи.
Давайте вернемся на секунду. Есть несколько способов, которыми зона может получать записи в ней:
Они автоматически добавляются рабочими станциями, которые настроены на использование DNS-сервера. Это наиболее распространенный вариант, который следует использовать в большинстве сценариев в сочетании с «Только безопасные обновления». Есть некоторые крайние случаи, когда вы не хотите идти по этому пути, но если вам нужны знания в этом ответе, то именно так вы хотите это сделать. По умолчанию рабочая станция или сервер Windows будет обновлять свои собственные записи каждые 24 часа или когда сетевой адаптер получает назначенный ему IP-адрес , либо через DHCP, либо статически.
Вы вручную создаете запись. Это может произойти, если вам нужно создать CNAME или запись другого типа, или если вы хотите, чтобы запись A отсутствовала на доверенном компьютере AD, возможно, на сервере Linux или OS X, который вы хотите разрешить своим клиентам. по имени.
Вы позволяете DHCP обновлять DNS при выдаче аренды. Это делается путем настройки DHCP для обновления записей от имени клиентов и добавления DHCP-сервера в группу DNSUpdateProxy AD. Это на самом деле не очень хорошая идея, потому что это открывает для вас отравление зоны. Отравление зоны (или заражение DNS) - это то, что происходит, когда клиентский компьютер обновляет зону с помощью вредоносной записи и пытается выдать себя за другой компьютер в вашей сети. Есть способы обеспечить это, и у него есть свое применение, но вам лучше оставить его в покое, если вы не знаете.
Итак, теперь, когда у нас есть это, мы можем вернуться на правильный путь. Вы настроили свои DNS-серверы AD так, чтобы разрешать только безопасные обновления, ваша инфраструктура движется вперед, а затем вы понимаете, что у вас есть тонна дубликатов записей! Что вы делаете по этому поводу?
Очистка DNS
Эта статья обязательна к прочтению . В нем подробно описаны лучшие практики и параметры, которые вам нужно будет настроить для очистки. Это для Windows Server 2003, но все еще применимо. Прочитайте это.
Очистка - это ответ на проблему с дублирующейся записью, изложенную выше. Представьте, что у вас есть компьютер с IP-адресом 192.168.1.100. Он зарегистрирует запись A для этого адреса. Затем представьте, что он отключился на длительный период времени. Когда он снова включен, этот адрес берется другой машиной, поэтому он получает 192.168.1.120. Теперь есть записи для них обоих.
Если вы очистите свои зоны, это не будет проблемой. Устаревшие записи будут удалены через определенный промежуток времени, и все будет в порядке. Просто убедитесь, что вы не продублировали все случайно, например, с интервалом в 1 день. Помните, AD опирается на эти записи. Определенно настройте очистку, но делайте это ответственно, как описано в статье выше.
Итак, теперь у вас есть общее представление о DNS и о том, как он интегрирован с Active Directory. Я буду добавлять кусочки в будущем, но, пожалуйста, не стесняйтесь добавлять свои собственные работы.