Active Directory покладається на правильно налаштовану та функціональну інфраструктуру DNS . Якщо у вас є проблема Active Directory, швидше за все, у вас проблема з DNS. Перше, що вам слід перевірити, це DNS. Друге, що вам слід перевірити, це DNS. Третє, що вам слід перевірити - це DNS.
Що саме DNS?
Це сайт для професіоналів, тому я припускаю, що ви принаймні прочитали чудову статтю у Вікіпедії . Коротше кажучи, DNS дозволяє знаходити IP-адреси, шукаючи пристрій за назвою. Для Інтернету важливо функціонувати так, як ми це знаємо, і він працює на всіх, крім найменших локальних мереж.
DNS, на самому базовому рівні, розбивається на три основні частини:
DNS-сервери: це сервери, які зберігають записи для всіх клієнтів, за які вони відповідають. У Active Directory ви виконуєте роль сервера DNS на контролерах домену.
Зони: копії зон зберігаються серверами. Якщо у вас є ім’я AD ad.example.com, то на ваших контролерах домену є зона, на якій встановлено DNS ad.example.com. Якщо у вас комп'ютер з іменем computerі він був зареєстрований на цьому сервері DNS, він створив би DNS-запис, іменований computerу ad.example.comвас, і ви зможете дістатися до цього комп'ютера через повністю кваліфіковане ім'я домену (FQDN), яке було бcomputer.ad.example.com
Записи: Як я вже згадував вище, зони зберігають записи. Запис відображає комп'ютер або ресурси на певну IP-адресу. Найпоширенішим видом записів є запис A, який містить ім'я хоста та IP-адресу. Другий за поширеністю - це записи CNAME. CNAME містить ім'я хоста та інше ім'я хоста. Коли ви шукаєте ім'я хоста1, він здійснює інший пошук і повертає адресу для імені хоста2. Це корисно для затемнення таких ресурсів, як веб-сервер або спільний доступ до файлів. Якщо у вас є CNAME для intranet.ad.example.comі сервер, який знаходиться за ним, кожен може продовжувати використовувати ім'я, яке знає, і вам потрібно лише оновити запис CNAME, щоб вказати на новий сервер. Корисне так?
Гаразд, як це стосується Active Directory?
При встановленні Active Directory та ролі сервера DNS на першому контролері домену в домені він автоматично створює дві зони пошуку вперед для вашого домену. Якщо ваш домен AD такий, ad.example.comяк у наведеному вище прикладі ( зауважте, що ви не повинні використовувати просто " example.com" як доменне ім'я для Active Directory ), у вас буде зона для ad.example.comі _msdcs.ad.example.com.
Що роблять ці зони? ВЕЛИКИЙ ПИТАННЯ! Почнемо з _msdcsзони. У ньому зберігаються всі записи, які потрібні вашим клієнтським машинам, щоб знайти контролери домену. Він включає записи для пошуку сайтів AD. Він має записи для різних власників ролей FSMO. Він навіть зберігає записи для ваших серверів KMS, якщо ви запускаєте цю додаткову послугу. Якби цієї зони не існувало, ви не змогли б увійти на свої робочі станції чи сервери.
Що займає ad.example.comзона? У ньому зберігаються всі записи для клієнтських комп'ютерів, серверів-членів та записи A для ваших контролерів домену. Чому ця зона важлива? Щоб ваші робочі станції та сервери могли спілкуватися між собою в мережі. Якби ця зона не існувала, ви, ймовірно, могли увійти, але ви більше нічого не могли б зробити, окрім перегляду Інтернету.
Як мені отримати записи в цих зонах?
Ну, на щастя для вас, це просто. Під час встановлення та налаштування параметрів сервера DNS під dcpromoчас вибору слід вибрати, Secure Updates Onlyякщо надано вибір. Це означає, що лише відомі ПК, що приєднуються до домену, можуть створювати / оновлювати свої записи.
Давайте повернемося на секунду. Є кілька способів, як зона може отримувати записи в ній:
Вони автоматично додаються робочими станціями, налаштованими на використання сервера DNS. Це найпоширеніший і його слід використовувати в тандемі з "Тільки безпечними оновленнями" у більшості сценаріїв. Є деякі кращі випадки, коли ви не хочете йти цим шляхом, але якщо вам потрібні знання в цій відповіді, то це саме так, як ви хочете це зробити. За замовчуванням робоча станція або сервер Windows оновлюватиме власні записи кожні 24 години або коли мережевий адаптер отримує призначену йому ІР-адресу , або через DHCP, або статично.
Ви вручну створюєте запис. Це може статися, якщо вам потрібно створити CNAME або інший тип запису, або якщо ви хочете запис, який не знаходиться на надійному комп'ютері AD, можливо, на сервері Linux або OS X, який ви хочете, щоб ваші клієнти могли вирішити по імені.
Ви дозволяєте DHCP оновлювати DNS при роздачі оренди. Ви робите це, налаштовуючи DHCP для оновлення записів від імені клієнтів та додавання DHCP-сервера до групи DNSUpdateProxy AD. Це насправді не дуже гарна ідея, оскільки це відкриває вас для отруєння в зоні. Отруєння зоною (або отруєння DNS) - це те, що відбувається, коли клієнтський комп'ютер оновлює зону зі шкідливим записом та намагається представити собі інший комп'ютер у вашій мережі. Існують способи забезпечити це, і він має свої можливості, але вам краще залишити його в спокої, якщо ви цього не знаєте.
Отже, тепер, коли у нас це не виходить, ми можемо повернутися на шлях. Ви налаштували ваші сервери AD DNS, щоб вони дозволяли лише захищати оновлення, ваша інфраструктура підключилася, і тоді ви зрозумієте, що у вас є маса дублікатів записів! Що ви робите з цього приводу?
Вичищення DNS
Цю статтю потрібно прочитати . У ньому детально описані найкращі практики та налаштування, які потрібно налаштувати для очищення. Це для Windows Server 2003, але він все ще застосовується. Читати.
Прибирання - це відповідь на проблему з повторним записом, поставлену вище. Уявіть, що у вас є комп’ютер, який отримує IP 192.168.1.100. Він зареєструє запис A за цією адресою. Потім уявіть, що воно вимкнеться протягом тривалого періоду часу. Коли він знову ввімкнений, цю адресу приймає інша машина, тому вона отримує 192.168.1.120. Зараз є записи A для обох.
Якщо ви очистите свої зони, це не буде проблемою. Запізнілі записи будуть вилучені через певний інтервал, і ви будете добре. Просто переконайтеся, що ви не очистите все випадково, як, наприклад, використовуючи 1-денний інтервал. Пам'ятайте, AD спирається на ці записи. Напевно налаштовуйте прибирання, але робіть це відповідально, як зазначено у статті вище.
Отже, тепер ви маєте базове розуміння DNS та його інтеграції з Active Directory. Я додаю шматочки і шматочки вниз, але, будь ласка, не соромтеся також додати свою роботу.