W jaki sposób DNS jest powiązany z Active Directory i jakie są typowe konfiguracje, o których powinienem wiedzieć?

Pamiętaj, że znam odpowiedź na to pytanie i przedstawiłem ją poniżej. Widzę wielu nowych administratorów systemów, którzy nie rozumieją treści mojej odpowiedzi, więc mam nadzieję, że wszystkie pytania AD DNS dla początkujących zostaną zamknięte jako duplikat tego. Jeśli masz niewielką poprawę, zredaguj moją odpowiedź. Jeśli możesz podać bardziej wyczerpującą kompletną odpowiedź, możesz ją zostawić.

W jaki sposób DNS jest powiązany z Active Directory i jakie są typowe konfiguracje, o których powinienem wiedzieć?

Active Directory opiera się na odpowiednio skonfigurowanej i funkcjonalnej infrastrukturze DNS . Jeśli masz problem z usługą Active Directory, prawdopodobnie masz problem z DNS. Pierwszą rzeczą, którą powinieneś sprawdzić, to DNS. Drugą rzeczą, którą powinieneś sprawdzić, jest DNS. Trzecią rzeczą, którą powinieneś sprawdzić, jest DNS.

Czym dokładnie jest DNS?

To jest strona dla profesjonalistów, więc założę się, że przynajmniej przeczytałeś doskonały artykuł w Wikipedii . Krótko mówiąc, DNS umożliwia wyszukiwanie adresów IP poprzez wyszukiwanie urządzenia według nazwy. Niezwykle ważne jest, aby Internet działał w takiej formie, w jakiej go znamy i działa na wszystkich sieciach LAN z wyjątkiem najmniejszych.

DNS, na najbardziej podstawowym poziomie, jest podzielony na trzy podstawowe elementy:

• Serwery DNS: są to serwery, które przechowują rekordy dla wszystkich klientów, za które są odpowiedzialni. W usłudze Active Directory rolę serwera DNS uruchamiasz na kontrolerach domeny.

• Strefy: kopie stref są przechowywane przez serwery. Jeśli masz nazwę AD ad.example.com, oznacza to, że na twoich kontrolerach domeny jest strefa z zainstalowanym DNS ad.example.com. Jeśli masz komputer nazwany computeri został zarejestrowany z tego serwera DNS, byłoby utworzyć rekord DNS o nazwie computerw ad.example.comi byłbyś w stanie dotrzeć do tego komputera za pośrednictwem Fully Qualified Domain Name (FQDN), która byłabycomputer.ad.example.com

• Rekordy: Jak wspomniałem powyżej, strefy przechowują rekordy. Rekord mapuje komputer lub zasoby na określony adres IP. Najczęstszym rodzajem rekordu jest rekord A, który zawiera nazwę hosta i adres IP. Drugie najczęściej spotykane są rekordy CNAME. Nazwa CNAME zawiera nazwę hosta i inną nazwę hosta. Podczas wyszukiwania nazwa_hosta1 wykonuje kolejne wyszukiwanie i zwraca adres nazwa_hosta2. Jest to przydatne do zasłaniania zasobów, takich jak serwer WWW lub udział plików. Jeśli masz CNAME dla, intranet.ad.example.coma serwer za nim się zmienia, każdy może nadal używać nazwy, którą zna, i musisz tylko zaktualizować rekord CNAME, aby wskazywał na nowy serwer. Przydatne prawda?

Ok, jak to się ma do Active Directory?

Po zainstalowaniu usługi Active Directory i roli serwera DNS na pierwszym kontrolerze domeny w domenie automatycznie tworzy ona dwie strefy wyszukiwania do przodu dla Twojej domeny. Jeśli twoja domena AD jest taka ad.example.comjak w powyższym przykładzie ( pamiętaj, że nie powinieneś używać po prostu „ example.com” jako nazwy domeny dla Active Directory ), będziesz mieć strefę dla ad.example.comi _msdcs.ad.example.com.

Co robią te strefy? WIELKIE PYTANIE! Zacznijmy od _msdcsstrefy. Przechowuje wszystkie rekordy potrzebne komputerom klienckim do znalezienia kontrolerów domeny. Zawiera rekordy do lokalizowania witryn AD. Zawiera rekordy dla różnych posiadaczy ról FSMO. Przechowuje nawet rekordy dla serwerów KMS, jeśli uruchomisz tę opcjonalną usługę. Jeśli ta strefa nie istnieje, nie będziesz mógł zalogować się na stacjach roboczych lub serwerach.

Co obejmuje ad.example.comstrefa? Przechowuje wszystkie rekordy dla komputerów klienckich, serwerów członkowskich i rekordy A dla kontrolerów domeny. Dlaczego ta strefa jest ważna? Aby Twoje stacje robocze i serwery mogły komunikować się ze sobą w sieci. Gdyby ta strefa nie istniała, prawdopodobnie mógłbyś się zalogować, ale nie byłbyś w stanie zrobić nic więcej poza przeglądaniem Internetu.

Jak uzyskać rekordy w tych strefach?

Na szczęście dla ciebie to łatwe. Kiedy instalujesz i konfigurujesz ustawienia serwera DNS podczas dcpromo, powinieneś zezwolić, Secure Updates Onlyjeśli masz wybór. Oznacza to, że tylko znane komputery przyłączone do domeny mogą tworzyć / aktualizować swoje rekordy.

Wróćmy na chwilę. Strefa może uzyskać w niej rekordy na kilka sposobów:

1. Są one automatycznie dodawane przez stacje robocze skonfigurowane do korzystania z serwera DNS. Jest to najbardziej powszechne i powinno być używane w połączeniu z „Tylko bezpieczne aktualizacje” w większości scenariuszy. Istnieje kilka skrajnych przypadków, w których nie chcesz iść w tę stronę, ale jeśli potrzebujesz wiedzy w tej odpowiedzi, to właśnie tak chcesz to zrobić. Domyślnie stacja robocza lub serwer Windows aktualizuje swoje rekordy co 24 godziny lub gdy karta sieciowa otrzyma przypisany do niej adres IP , albo przez DHCP, albo statycznie.

2. Ręcznie tworzysz rekord. Może się to zdarzyć, jeśli musisz utworzyć rekord CNAME lub inny typ rekordu lub jeśli potrzebujesz rekordu A, który nie znajduje się na zaufanym komputerze AD, być może na serwerze Linux lub OS X, który chcesz, aby klienci mogli rozwiązać wg nazwy.

3. Zezwalasz DHCP na aktualizację DNS po rozdaniu dzierżawy. W tym celu należy skonfigurować DHCP w celu aktualizacji rekordów w imieniu klientów i dodać serwer DHCP do grupy DNSUpdateProxy AD. To naprawdę nie jest dobry pomysł, ponieważ otwiera cię na zatrucie strefy. Zatrucie strefy (lub zatrucie DNS) ma miejsce, gdy komputer kliencki aktualizuje strefę za pomocą złośliwego rekordu i próbuje podszyć się pod inny komputer w sieci. Istnieją sposoby, aby to zabezpieczyć i ma to swoje zastosowania, ale lepiej nie zostawiać tego w spokoju, jeśli nie wiesz.

Więc teraz, gdy mamy to z drogi, możemy wrócić na właściwe tory. Skonfigurowałeś swoje serwery AD DNS tak, aby zezwalały tylko na bezpieczne aktualizacje, twoja infrastruktura się wtrząsa, a potem zdajesz sobie sprawę, że masz mnóstwo zduplikowanych rekordów! Co ty z tym robisz?

Oczyszczanie DNS

Ten artykuł wymaga przeczytania . Zawiera szczegółowe informacje na temat najlepszych praktyk i ustawień, które należy skonfigurować do oczyszczania. To jest dla Windows Server 2003, ale nadal ma zastosowanie. Przeczytaj to.

Oczyszczanie jest odpowiedzią na powyższy problem zduplikowanego rekordu. Wyobraź sobie, że masz komputer o adresie IP 192.168.1.100. Zarejestruje rekord A dla tego adresu. Następnie wyobraź sobie, że wyłączał się na dłuższy czas. Po ponownym włączeniu ten adres jest przejmowany przez inną maszynę, więc jest dostępny 192.168.1.120. Teraz są rekordy A dla obu z nich.

Jeśli wyczyścisz swoje strefy, nie będzie to problemem. Stare rekordy zostaną usunięte po pewnym czasie i wszystko będzie dobrze. Upewnij się tylko, że nie zmiatałeś wszystkiego przez przypadek, na przykład stosując interwał 1-dniowy. Pamiętaj, AD opiera się na tych danych. Zdecydowanie skonfiguruj oczyszczanie, ale rób to odpowiedzialnie, jak opisano w powyższym artykule.

Teraz znasz podstawową wiedzę o DNS i jego integracji z Active Directory. Dodam trochę kawałków później, ale proszę również dodać własne dzieło.