Назад | Перейти на главную страницу

Как разрешить имя хоста на всех сайтах в Active Directory?

В настоящее время я изучаю AD DS.

Сценарий в моей компании выглядит следующим образом.

WorkingPC.Asia.Corp.domain.com 172.10.212.62

FileServerA.Asia.Corp.domain.com 172.11.13.21

Asia-DNS-01.Aisa.Corp.domain.com 172.20.10.45

FileServerB.Eur.Corp.domain.com 10.21.11.213

Если я использую nslookup в WorkingPC, который присоединен к домену Asia.

> FileServerA
 Server:  Asia-DNS-01.Asia.corp.domain.com
 Address:  172.20.10.45

 Name:    FileServerA.Asia.corp.domain.com
 Address:  172.11.13.21

> FileServerB
 Server:  Asia-DNS-01.Asia.corp.domain.com
 Address:  172.20.10.45

 Non-authoritative answer:
 Name:    FileServerB.Eur.corp.domain.com
 Address:  10.21.11.213
 Aliases:  FileServerB.corp.domain.com

Проблема в следующем:

В моей тестовой среде я не могу разрешить хост в другом домене, используя одно имя хоста.

> FileServerA
 Server:  Asia-DNS-01.Asia.corp.domain.com
 Address:  172.20.10.45

 Name:    FileServerA.Asia.corp.domain.com
 Address:  172.11.13.21

 > FileServerB
 Server:  Asia-DNS-01.Asia.corp.domain.com
 Address:  172.20.10.45

 *** Asia-DNS-01.Asia.corp.domain.com can't find FileServerB: Non-existent domain

Предположим, я развернул несколько сайтов с помощью AD DS.

Есть домены:

Eur.Corp.Domain.com 

UK.Eur.Corp.Domain.com

UK является дочерним доменом Eur.

Обновляющий вопрос из-за нечеткого описания.

В двух доменах есть два сервера ресурсов.

FileServer1 в корневом домене, поэтому полное доменное имя сервера FileServer1.Eur.Corp.Domain.com.

FileServer2 в дочернем имени, поэтому полное доменное имя сервера FileServer2.UK.Eur.Corp.Domain.com.

Когда я пытаюсь выполнить nslookup на обоих дочерних серверах, используя одно имя, например FileServer1 и FileServer2, оба сервера могут быть восстановлены.

Когда я пытаюсь выполнить nslookup оба сервера в родительском, используя одно имя. FileServer1 может быть разрешен, но FileServer2 отображается как несуществующий. Затем я использую FileServer2.UK, он работает.

Это нормально?

Сервер в Eur назван LAB.UK.Eur.Corp.Domain.com.

Когда я использую NSLOOKUP для разрешения "LAB" на сайте UK.EUR, он может вернуть правильный IP-адрес. Но если я попытаюсь выполнить NSLOOKUP в евро сайт, это не удается.

Моя компания создает CNAME для каждого ресурса в дочернем домене. Например, будет CNAME LAB.Eur.Corp.Domain.com. Но как это сделать?

Есть ли решение этой проблемы?

Я собираюсь отметить здесь несколько моментов. Некоторые из них связаны с вашим конкретным вопросом, а некоторые - с общей информацией об AD DNS.

  1. Поведение по умолчанию для DNS в домене AD - для _msdcs зона должна быть настроена на интеграцию с рекламой и реплицирована на все DNS-серверы в лесу. Это означает, что все DNS-серверы в лесу будут хранить копию этой зоны.

  2. Поведение по умолчанию для DNS в домене AD заключается в том, что зона полного доменного имени домена должна быть настроена на интеграцию с рекламой и реплицирована на все DNS-серверы в домене. Это означает, что все DNS-серверы в каждом домене будут хранить копию своей зоны FQDN.

  3. Во время процесса DCPROMO для дочернего домена делегирование дочернего домена дочернему DNS-серверу будет создано в родительской зоне на родительском DNS-сервере. Полные DNS-запросы для дочернего домена из родительского домена будут «перенаправлены» на дочерний DNS-сервер.

  4. Во время процесса DCPROMO для дочернего домена на дочернем DNS-сервере будет создан сервер пересылки на родительский DNS-сервер. Это не сервер условной пересылки (и не обязательно). Вы должны увидеть это на вкладке «Серверы пересылки» в свойствах дочернего DNS-сервера. Дочерний DNS-сервер будет перенаправлять запросы для зон DNS, для которых он не является полномочным, на родительский сервер. Это связано с моей следующей мыслью.

  5. Деволюция DNS выполняет разрешение имен однокомпонентных запросов записей родительской зоны из дочернего домена. Например, если вы запускаете nslookup из дочернего домена для FileServer1, первый запрос на самом деле FileServer1.UK.Eur.Corp.Domain.com (поскольку к запросу добавляется первичный DNS-суффикс дочернего домена). Когда это не удается (возвращается NXDOMAIN), передача DNS отправляет запрос для FileServer1.Eur.Corp.Domain.com, который перенаправляется на родительский DNS-сервер (поскольку дочерний DNS-сервер является полномочным только для UK.Eur.Corp.Domain.com зона. Запросы для всех других доменных имен перенаправляются на родительский сервер.). Родительский сервер является полномочным для Eur.Corp.Domain.com зона и, следовательно, разрешает запрос. Если бы запрос был для www.google.com тогда дочерний DNS-сервер снова переадресует запрос родительскому DNS-серверу, а родительский DNS-сервер будет использовать настроенные серверы пересылки или корневые ссылки для разрешения запроса.

  6. Чтобы хосты в родительском домене разрешали однокомпонентные имена в дочернем домене, они должны быть настроены со списком поиска DNS-суффиксов, который включает DNS-суффикс дочернего домена. Вы можете настроить это для всех членов родительского домена с помощью групповой политики. Обратите внимание, что этот параметр GPO переопределяет основной DNS-суффикс и DNS-суффикс подключения, поэтому вам необходимо добавить как родительский, так и дочерний DNS-суффиксы в этот параметр групповой политики (Eur.Corp.Domain.com и UK.Eur.Corp.Domain.com). Также обратите внимание, что вам необходимо настроить это ТОЛЬКО в родительском домене.

Есть три способа сделать это без описанного вами ужаса CNAME.

Все это настраивается через консоль управления DNS или через PowerShell (модуль необходимо загрузить до сервера 2012). Очевидно, между контроллерами домена требуется подключение к DNS.

РЕДАКТИРОВАТЬ: все это предполагает, что все три домена не полностью видны из www.

Глобальные экспедиторы Разрешение DNS имеет тенденцию следовать «нисходящему» пути через делегирование. В вашей настройке это уже работает (т.е. LAB.UK.Eur.Corp.Domain.com разрешается из родительского домена), который должен быть из-за записей NS, указывающих на DC LAB (или условной пересылки - см. ниже). Вы можете установить «Global Forwarder», который будет отправлять все запросы для записей, не размещенных локально, например, в DC родительского домена.

Эта настройка может помешать подключению к Интернету, так как запросы для www.google.com (и всего остального) будут проходить через ваш глобальный сервер пересылки.

Условная пересылка Как и в случае с глобальной пересылкой, вы указываете, куда должны направляться запросы для определенного домена. Таким образом, запросы по Великобритании могут поступать непосредственно в DC Великобритании, а запросы по EURO - напрямую в DC EURO.

Внутренние корневые подсказки Я не рекомендую это, и я слишком много задействован в этой настройке, чтобы я мог вдаваться в нее (я сделал это однажды и плохо), но концепция здесь для полноты.