MDM*_*rra 24 domain-name-system active-directory
请注意,我确实知道这个问题的答案,并在下面提供了一个答案。我看到很多新的系统管理员不理解我的答案的内容,所以我希望所有初学者 AD DNS 问题都将作为此副本的副本关闭。如果您有细微的改进,请随时编辑我的答案。如果您可以提供更全面的完整答案,请随时留下一个。
DNS 与 Active Directory 有何关联?我应该注意哪些常见配置?
MDM*_*rra 32
Active Directory依赖于正确配置且功能正常的DNS 基础结构。如果您遇到 Active Directory 问题,很可能是您遇到了 DNS 问题。您应该检查的第一件事是 DNS。您应该检查的第二件事是 DNS。您应该检查的第三件事是 DNS。
这是一个面向专业人士的网站,所以我假设您至少已经阅读了优秀的Wikipedia 文章。简而言之,DNS 允许通过按名称查找设备来找到 IP 地址。正如我们所知道的那样,Internet 的功能至关重要,并且它运行在除最小的 LAN 之外的所有 LAN 上。
DNS,在最基本的层面上分为三个基本部分:
DNS 服务器:这些服务器保存它们负责的所有客户端的记录。在 Active Directory 中,您在域控制器上运行 DNS 服务器角色。
区域:区域的副本由服务器保存。如果您有一个ad.example.com名为ad.example.com. 如果您有一台计算机,computer并且它已在该 DNS 服务器上注册,它会创建一个名为computerin的 DNS 记录ad.example.com,您将能够通过完全限定域名 (FQDN) 访问该计算机,即computer.ad.example.com
记录:正如我上面提到的,区域保存记录。记录将计算机或资源映射到特定 IP 地址。最常见的一种记录是 A 记录,它包含一个主机名和一个 IP 地址。第二个最常见的是 CNAME 记录。CNAME 包含一个主机名和另一个主机名。当您查找主机名 1 时,它会执行另一次查找并返回主机名 2 的地址。这对于隐藏网络服务器或文件共享等资源很有用。如果你有一个 CNAMEintranet.ad.example.com并且它背后的服务器发生了变化,每个人都可以继续使用他们知道的名字,你只需要更新 CNAME 记录以指向新服务器。有用吧?
当您在域中的第一个域控制器上安装 Active Directory 和 DNS 服务器角色时,它会自动为您的域创建两个正向查找区域。如果您的 AD 域ad.example.com如上例所示(请注意,您不应仅使用“ example.com”作为 Active Directory 的域名),您将拥有一个用于ad.example.com和的区域_msdcs.ad.example.com。
这些区域有什么作用?好问题!让我们从_msdcs区域开始。它保存您的客户端计算机查找域控制器所需的所有记录。它包括定位 AD 站点的记录。它有不同 FSMO 角色持有者的记录。如果您运行此可选服务,它甚至会保存您的 KMS 服务器的记录。如果此区域不存在,则您将无法登录到您的工作站或服务器。
该ad.example.com区域有什么?它保存您的客户端计算机、成员服务器的所有记录以及域控制器的 A 记录。为什么这个区域很重要?使您的工作站和服务器可以在网络上相互通信。如果此区域不存在,您可能可以登录,但除了浏览 Internet 之外,您将无法执行其他任何操作。
好吧,对你来说幸运的是,这很容易。在 期间安装和配置 DNS 服务器设置时dcpromo,Secure Updates Only如果有选择,您应该选择允许。这意味着只有已知的加入域的 PC 才能创建/更新他们的记录。
让我们备份一下。区域可以通过以下几种方式获取记录:
它们由配置为使用 DNS 服务器的工作站自动添加。这是最常见的,在大多数情况下应与“仅安全更新”结合使用。在某些边缘情况下,您不想这样做,但是如果您需要此答案中的知识,那么这就是您想要的方式。默认情况下,Windows 工作站或服务器将每 24 小时更新一次自己的记录,或者在网络适配器通过 DHCP 或静态获得分配给它的 IP 地址时更新自己的记录。
您手动创建记录。如果您需要创建 CNAME 或其他类型的记录,或者如果您想要不在受信任的 AD 计算机(可能是您希望客户端能够解析的 Linux 或 OS X 服务器)上的 A 记录,则可能会发生这种情况按名字。
当租约被分发时,您让 DHCP 更新 DNS。为此,您可以将 DHCP 配置为代表客户端更新记录并将 DHCP 服务器添加到 DNSUpdateProxy AD 组。这真的不是一个好主意,因为它会为区域中毒打开大门。区域中毒(或 DNS 中毒)是当客户端计算机使用恶意记录更新区域并尝试冒充您网络上的另一台计算机时发生的情况。有一些方法可以确保这一点,它确实有其用途,但如果您不知道,最好不要管它。
所以,既然我们已经解决了这个问题,我们就可以回到正轨了。您已将 AD DNS 服务器配置为仅允许安全更新,您的基础设施正在运行,然后您意识到您有大量重复记录!你怎么办?
这篇文章是必读的。它详细介绍了您需要为清理配置的最佳实践和设置。它适用于 Windows Server 2003,但仍然适用。阅读。
清理是对上面提出的重复记录问题的答案。假设您有一台获得 IP 为 192.168.1.100 的计算机。它将为该地址注册一条 A 记录。然后,想象一下它关闭了很长一段时间。当它重新打开时,该地址被另一台机器占用,所以它得到192.168.1.120. 现在他们两个都有A记录。
如果你清理你的区域,这将不是问题。过时的记录将在一定时间间隔后删除,您会没事的。只要确保您不会意外清除所有内容,例如使用 1 天间隔。请记住,AD 依赖于这些记录。一定要配置清理,但要负责任地进行,如上面文章中所述。
因此,现在您对 DNS 以及它如何与 Active Directory 有一个基本的了解。我会在路上添加点点滴滴,但也请随意添加您自己的作品。