Конфигурация DNS и Active Directory для филиала


8

В настоящее время у нас есть филиал без услуг на месте, и мы бы хотели это изменить. Самая большая цель состоит в том, чтобы настроить некоторые файловые серверы, но также приветствуются более быстрые входы в систему и разрешение DNS.

Я провожу некоторые эксперименты с некоторыми виртуальными машинами в отдельной подсети / VLAN, поэтому предположим, что у меня есть лес и домен domain.com:

  1. Существует один сайт Officeс подсетью 192.168.1/24и одной зоной первичного DNSdomain.com
  2. Добавлен вторичный сайт TestSiteс подсетью192.168.100/24
  3. Создана 192.168.100зона обратного просмотра в DNS
  4. Создана виртуальная машина под Branch-DC01управлением Server 2012 с IP-адресом192.168.100.1
  5. Добавлено в domain.comкачестве участника
  6. Установлен AD DSкак контроллер домена только для чтения (RODC) вTestSite
  7. Основным DNSсервером для Branch-DC01.domain.comявляется127.0.0.1
  8. Настройте область DHCP для нового сервера и настроите DHCP для постоянного обновления DNS
  9. Создана Branch-PC01виртуальная машина под управлением Windows 8 и добавлена ​​вdomain.com
  10. Branch-PC01получил IP-адрес 192.168.100.20от DHCP, DNS-сервера 192.168.100.1, запись для члена в зоне прямого просмотра domain.comприсутствует, но не в зоне обратного просмотра (значимо?)
  11. По Branch-PC01выполненному nslookup domain.com- результат вернулся с IP-адресами основного DCsс Officeсайта ( 192.168.1подсети)

Теперь это не так, на мой взгляд, не должно ли это вернуться 192.168.100.1? Или я неправильно понимаю всю концепцию - и как вход в систему должен быть быстрее?

Нужна ли мне отдельная DNS-зона (как это будет работать без субдомена, который я не хочу создавать, если не требуется)?

Любые идеи / статьи, на которые я могу указать, были бы хорошими; Я прочитал кучу статей TechNet и не мудрый.

Спасибо

Обновить

Большое спасибо @TheCleaner и @ charleswj81 за ваши усилия.

Я только что попробовал nltest, и результат тот же от DC филиала и клиентского ПК:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Обновление 2

  1. Очищены записи DNS, поэтому любые контейнеры _sites с TestSite имеют только записи SRV, для Branch-DC01которых после перезапуска клиента не помогло.
  2. nltest на клиенте:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com
    
      Address: \\192.168.1.3
    
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
    
     Dom Name: domain.com
    

    Имя леса: domain.com

    Название сайта: Офис

    Название нашего сайта: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
    

    DNS_FOREST FULL_SECRET WS

    Команда выполнена успешно


Во-первых, проверьте на ПК филиала и посмотрите, какой DC на самом деле вас аутентифицировал. Из ЦМД прогона строки: echo %LOGONSERVER%. Когда вы говорите «сайт», я предполагаю, что вы имеете в виду ADS & S и что у вас есть отдельные сайты для вашей ветви?
TheCleaner

@TheCleaner echo %LOGONSERVER%вернулся с именем хоста одного из главных контроллеров домена с основного сайта, да, у меня есть отдельный сайт с указанной подсетью и под TestSite-> Serversя вижу тестовый контроллер домена в качестве единственной записи
hyp

Вы проверяли это не раз? Я спрашиваю, потому что с RODC он использует кэшированную информацию для входа в систему, поэтому, если это единственный / первый раз, он перенаправляет запрос на аутентификацию на нормальный DC. Ох, и другие DC, они по крайней мере 2008?
TheCleaner

Я просто перезагружал клиентский ПК и выходил из системы / входил в систему каждый раз, когда% LOGONSERVER% является одним из контроллеров домена главного офиса. Глядя на DNS, похоже, что записи NS были сгенерированы для всех контроллеров домена (филиал + офис) для зоны обратного просмотра филиала - если это поможет? Попытался удалить все, кроме DC ветви из этой зоны, но они просто генерируются снова ...
HyP

@TheCleaner забыл ответить о версии - основными контроллерами домена являются 2x Server 2008 R2 + 1x Server 2012
Hyp

Ответы:


0

Клиент на одном сайте вполне нормально получает разрешение DNS для домена на DC на другом сайте. Это связано со всеми записями «(такими же, как у родителя) A для зоны прямого просмотра домена. Каждый ДК будет указан в списке круговой проверки для домена.

Это не самый идеальный вариант для эффективности разрешения DNS (и может вызвать проблемы, если некоторые сайты недоступны), но вы можете настроить такие вещи, как DNS с геотегами, чтобы смягчить его, и это совершенно нормальное поведение. Как только клиент получает DC, любой DC, чтобы ответить, этот DC будет использовать конфигурацию Sites and Zones для выборки DC в его соответствующей зоне и информировать клиента для направления дальнейших запросов к этому DC. После входа в систему клиент кэширует свой сайт и в основном использует% LOGONSERVER% для будущих транзакций.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.