DNS与Active Directory有何关系?我应注意哪些常见配置?

23

请注意,我确实知道答案,并在下面提供了答案。我看到许多较新的系统管理员不理解我的回答的内容,因此我希望所有初学者的AD DNS问题都可以作为本课程的副本而关闭。如果您有较小的改进,请随时编辑我的答案。如果您可以提供更全面的完整答案,请随时留下。

DNS与Active Directory有何关系?我应注意哪些常见配置?

domain-name-system  active-directory 
姆达拉
source
鉴于他们是独立的角色,为什么您会选择一个而又没有另一个?(我也知道答案。)
马克·赫德
我认为实际上可能更适合我链接到的广告问题。很好的建议!
MDMarra 2012年

Answers:

30

Active Directory依赖于正确配置和正常运行的DNS基础结构。如果您有Active Directory问题,则很可能是DNS问题。您应该检查的第一件事是DNS。您应该检查的第二件事是DNS。您应该检查的第三件事是DNS。

DNS到底是什么?

这是一个面向专业人士的网站,所以我认为您至少已经阅读了Wikipedia上的出色文章。简而言之,DNS允许通过按名称查找设备来找到IP地址。众所周知,对于Internet来说至关重要,并且Internet必须在最小的LAN上运行。

最基本的DNS分为三个基本部分:

  • DNS服务器:这些服务器保存其负责的所有客户端的记录。在Active Directory中,您可以在域控制器上运行DNS服务器角色。

  • 区域:区域副本由服务器保存。如果您有一个名为AD的AD ad.example.com,则在域控制器上有一个安装DNS的区域名为ad.example.com。如果你有一台电脑命名computer,它是与DNS服务器注册,它会创建一个名为DNS记录computerad.example.com,你将能够通过完全限定域名(FQDN),这将是达到这一计算机computer.ad.example.com

  • 记录:如上所述,区域保存记录。一条记录将计算机或资源映射到特定的IP地址。最常见的记录类型是A记录,其中包含主机名和IP地址。第二常见的是CNAME记录。CNAME包含一个主机名和另一个主机名。查找主机名1时,它将执行另一次查找并返回主机名2的地址。这对于遮盖Web服务器或文件共享之类的资源很有用。如果您有一个CNAME,intranet.ad.example.com并且其后面的服务器发生了变化,那么每个人都可以继续使用他们知道的名称,而您只需要更新CNAME记录以指向新服务器即可。有用吗?

好的,这与Active Directory有什么关系?

在域中的第一个域控制器上安装Active Directory和DNS服务器角色时,它将自动为您的域创建两个正向查找区域。如果你的AD域是ad.example.com如上面(的例子注意,你不应该只使用“ example.com”作为域名为Active Directory),你就会有一个区域ad.example.com_msdcs.ad.example.com

这些区域做什么?伟大的问题!让我们从_msdcs区域开始。它保存了客户端计算机查找域控制器所需的所有记录。它包括用于找到AD站点的记录。它具有不同FSMO角色所有者的记录。如果运行此可选服务,它甚至还保存KMS服务器的记录。如果该区域不存在,那么您将无法登录到工作站或服务器。

ad.example.com区域保留什么?它保存了客户端计算机,成员服务器的所有记录以及域控制器的A记录。为什么这个区域很重要?这样您的工作站和服务器就可以在网络上相互通信。如果该区域不存在,则可能可以登录,但是除了浏览Internet外,您将无法做其他事情。

我如何在这些区域中获取记录?

好吧,幸运的是,这很容易。在期间安装和配置DNS服务器设置时dcpromo,如果可以选择,则应选择允许Secure Updates Only。这意味着只有已知加入域的PC才能创建/更新其记录。

让我们备份一秒钟。区域可以通过几种方式在其中获取记录:

  1. 它们被配置为使用DNS服务器的工作站自动添加。这是最常见的情况,在大多数情况下应与“仅安全更新”一起使用。在某些极端情况下,您不想这样做,但是如果您需要此答案中的知识,那么这就是您想要的方法。默认情况下,Windows工作站或服务器将每24小时或当网络适配器通过DHCP或静态获取分配给它的IP地址时更新其自己的记录

  2. 您手动创建记录。如果您需要创建CNAME或其他类型的记录,或者想要的A记录不在受信任的AD计算机(例如您希望客户端能够解析的Linux或OS X服务器)上,则可能会发生这种情况按名字。

  3. 发放租约时,让DHCP更新DNS。您可以通过配置DHCP来代表客户端更新记录并将DHCP服务器添加到DNSUpdateProxy AD组中来实现。这并不是一个好主意,因为它使您容易遭受区域中毒。当客户端计算机使用恶意记录更新区域并尝试模拟网络上的另一台计算机时,会发生区域中毒(或DNS中毒)。有多种方法可以确保它的安全,并且确实有其用途,但是如果您不知道,最好不要管它。

因此,现在我们已经摆脱了困境,可以重回正轨。您已经将AD DNS服务器配置为仅允许安全更新,基础设施不断发展,然后您意识到自己有大量重复记录!你对此怎么办?

DNS清理

本文是必读的。它详细说明了您需要配置以进行清理的最佳做法和设置。适用于Windows Server 2003,但仍适用。阅读。

清除是上面提出的重复记录问题的答案。假设您有一台IP地址为192.168.1.100的计算机。它将为该地址注册一个A记录。然后,想象一下它已经关闭了很长时间。重新开启时,该地址将由另一台计算机使用,因此它将变为192.168.1.120。现在两个都有A记录。

如果您清理区域,这将不是问题。过时的记录将在一定间隔后被删除,您会没事的。只要确保您不会意外清除所有内容,例如间隔1天。请记住,AD依赖于这些记录。绝对配置清除,但以负责任的方式进行清除,如上面的文章所述。

因此,现在您对DNS及其与Active Directory的集成有了基本的了解。我会在途中添加一些零碎的内容,但是请随时添加您自己的作品。

姆达拉
source
我将替换ad.example.com为just example.com。前者使读者(阅读:我)感到困惑,并认为它也是自动生成的名称_msdtc(由于我已经知道DNS正确,所以我跳到了AD部分)。我还没有看到一个网络,该网络使用一个专门用于AD的DNS子域。
ivan_pozdeev
2
那并不正确。您绝对不应使用您的AD域创建拆分DNS。仅仅因为很多人做错了事就没有做对:)
MDMarra
如果确实如此,那么本主题值得探讨。特别是因为问题是关于“通用配置”的。根据我的经验,唯一的问题是与公共DNS同步。但这更像是软件的缺点-从算法上讲,这里没有火箭科学。
ivan_pozdeev
2
MDMarra
问题和答案都应该得到更多的赞扬
Andrea Ligios
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.