分支机构的DNS和Active Directory配置

8

目前,我们的分支机构没有现场服务,我们希望对此进行更改。最大的目标是设置一些文件服务器,但是也欢迎更快的登录和DNS解析。

我正在一个单独的子网/ VLAN上的一些VM上做一些实验,所以可以说我有林和域domain.com

  1. 有一个Office带有子网192.168.1/24和一个主DNS区域的站点domain.com
  2. 添加TestSite具有子网的辅助站点192.168.100/24
  3. 192.168.100在DNS中创建反向查找区域
  4. 创建Branch-DC01具有IP地址的运行Server 2012 的VM192.168.100.1
  5. 已添加domain.com为成员
  6. 安装AD DS只读域控制器(RODC)在TestSite
  7. 主要DNS服务器Branch-DC01.domain.com127.0.0.1
  8. 为新服务器设置DHCP作用域,并配置为DHCP以始终更新DNS
  9. 创建Branch-PC01运行Windows 8的VM,并将其添加到domain.com
  10. Branch-PC01192.168.100.20从DHCP,DNS服务器获得IP地址,192.168.100.1该成员domain.com存在正向查找区域中成员的条目,但不存在于反向查找区域中(重要吗?)
  11. Branch-PC01执行nslookup domain.com-结果出来与主的IP地址回DCsOffice网站(192.168.1子网)

现在这在我脑海中是不对的-它不应该返回192.168.100.1吗?还是我误解了整个概念-应该如何加快登录速度?

我是否需要一个单独的DNS区域(如果没有子域,除非需要,否则该域将如何工作?)?

我能指出的任何想法/文章都很好。我已经阅读了许多TechNet文章,但都不是明智的选择。

谢谢

更新资料

非常感谢@TheCleaner和@ charleswj81,感谢您的努力。

我刚刚尝试了nltest,结果与分支DC和客户端PC的结果相同:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

更新2

  1. 清除了DNS条目,因此带有TestSite的所有_sites容器都只有SRV记录,Branch-DC01客户端重新启动后对它们没有帮助。

  2. 在客户端上进行nltest:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com

    林名称:domain.com

    直流站​​点名称:Office

    我们的网站名称:TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN

    DNS_FOREST FULL_SECRET WS

    命令成功完成`

domain-name-system  active-directory  windows-server-2012  windows 
炒作
source
首先,在分支PC上检查并查看实际验证了哪个DC的身份。从cmd行运行:echo %LOGONSERVER%。当您说站点时,我假设您的意思是ADS&S,并且您的分支机构那里有单独的站点?
TheCleaner 2013年
@TheCleaner echo %LOGONSERVER%从主站点返回了一个主DC的主机名,是的,我确实有一个单独的站点,其中指定了子网,并且在TestSite-> Servers我可以看到测试DC是唯一条目
hyp
您是否已经测试了多次?我问是因为RODC使用缓存的登录信息,因此,如果这是唯一/首次将身份验证请求转发到普通DC。哦,还有其他区议会,他们至少是2008年吗?
TheCleaner 2013年
每当%LOGONSERVER%是主要办公室DC之一时,我就重新启动客户端PC并注销/重新登录。查看DNS,看起来为分支反向查找区域的所有DC(分支机构+办公室)都生成了NS记录-如果有帮助吗?尝试删除该区域中除分支DC之外的所有域,但它们只是再次生成...
hyp
@TheCleaner忘记回答版本-主要DC是2x Server 2008 R2 + 1x Server 2012
hyp

Answers:

0

一个站点上的客户端将域的DNS解析接收到另一个站点上的DC,这是完全正常的。这是因为域正向查找区域的所有“(与父代相同)” A记录。该域的每个DC将被循环列出。

对于DNS解析效率而言,它并不是最理想的选择(如果某些站点不可用,可能会引起问题),但是您可以设置带有地理标记的DNS之类的东西来缓解它,这是完全正常的行为。一旦客户端获得DC,则任何DC都会响应,该DC将利用“站点和区域”配置来获取其适当区域中的DC,并通知客户端针对该DC提出进一步的请求。客户端登录后,将缓存其站点,并且大部分将%LOGONSERVER%用于以后的交易。

pipe_tape_coder
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.