Обратите внимание, что я знаю ответ на этот вопрос и привел его ниже. Я вижу много новых системных администраторов, которые не понимают содержания моего ответа, поэтому я надеюсь, что все вопросы для начинающих по AD DNS будут закрыты как дубликат этого. Если у вас есть небольшое улучшение, не стесняйтесь редактировать мой ответ. Если вы можете дать более исчерпывающий ответ, не стесняйтесь его оставлять.
Как DNS связан с Active Directory и о каких распространенных конфигурациях мне следует знать?
Active Directory полагается на правильно настроенный и функциональный Инфраструктура DNS. Если у вас есть проблема с Active Directory, скорее всего, у вас проблема с DNS. Первое, что вам следует проверить, это DNS. Второе, что вам следует проверить, это DNS. Третье, что вам следует проверить, - это DNS.
Это сайт для профессионалов, поэтому я предполагаю, что вы хотя бы прочитали отличную Статья в Википедии. Короче говоря, DNS позволяет находить IP-адреса путем поиска устройства по имени. Для Интернета критически важно функционировать в том виде, в каком мы его знаем, и он работает во всех локальных сетях, кроме самых маленьких.
DNS, на самом базовом уровне, разбит на три основных части:
DNS-серверы: это серверы, на которых записи для всех клиентов, за которых они несут ответственность. В Active Directory вы выполняете роль DNS-сервера на контроллере (-ах) домена.
Зоны: копии зон хранятся на серверах. Если у вас есть AD с именем ad.example.com, то на ваших контроллерах домена есть зона с установленным DNS с именем ad.example.com. Если у вас есть компьютер с именем computer и он был зарегистрирован на этом DNS-сервере, он создаст DNS-запись с именем computer в ad.example.com и вы сможете подключиться к этому компьютеру через полное доменное имя (FQDN), которое будет computer.ad.example.com
Записи: Как я уже упоминал выше, в зонах хранятся записи. Запись сопоставляет компьютер или ресурсы с определенным IP-адресом. Наиболее распространенный вид записи - это запись A, содержащая имя хоста и IP-адрес. Вторыми по распространенности являются записи CNAME. CNAME содержит имя хоста и другое имя хоста. Когда вы ищите hostname1, он выполняет другой поиск и возвращает адрес hostname2. Это полезно для скрытия ресурсов, таких как веб-сервер или файловый ресурс. Если у вас есть CNAME для intranet.ad.example.com и сервер, стоящий за ним, изменяется, каждый может продолжать использовать известное имя, и вам нужно только обновить запись CNAME, чтобы она указывала на новый сервер. Полезно, да?
Когда вы устанавливаете Active Directory и роль DNS-сервера на свой первый контроллер домена в домене, он автоматически создает две зоны прямого просмотра для вашего домена. Если ваш домен AD ad.example.com как в примере выше (обратите внимание, что вы не должны использовать просто "example.com"как доменное имя для Active Directory), у вас будет зона для ad.example.com и _msdcs.ad.example.com.
Что делают эти зоны? БОЛЬШОЙ ВОПРОС! Начнем с _msdcs зона. Он содержит все записи, которые необходимы вашим клиентским машинам для поиска контроллеров домена. Он включает записи для поиска сайтов AD. В нем есть записи для разных держателей ролей FSMO. Он даже хранит записи для ваших серверов KMS, если вы запустите эту дополнительную службу. Если бы эта зона не существовала, вы не смогли бы войти на свои рабочие станции или серверы.
Что это ad.example.com зона удержания? Он содержит все записи для ваших клиентских компьютеров, рядовых серверов и записи A для ваших контроллеров домена. Почему этот зона важна? Чтобы ваши рабочие станции и серверы могли связываться друг с другом в сети. Если бы эта зона не существовала, вы, вероятно, могли бы войти в систему, но вы не могли бы делать ничего, кроме работы в Интернете.
Что ж, к счастью для вас, это легко. При установке и настройке параметров DNS-сервера во время dcpromo, вы должны разрешить Secure Updates Only если есть выбор. Это означает, что только известные подключенные к домену ПК могут создавать / обновлять свои записи.
Вернемся назад на секунду. Есть несколько способов, которыми зона может получать записи в ней:
Они автоматически добавляются рабочими станциями, настроенными на использование DNS-сервера. Это наиболее распространенный вариант, и в большинстве сценариев его следует использовать вместе с «Только безопасные обновления». Есть некоторые крайние случаи, когда вы не хотите идти этим путем, но если вам нужны знания в этом ответе, то это то, как вы хотите это сделать. По умолчанию рабочая станция или сервер Windows обновляет свои собственные записи каждые 24 часа или когда сетевой адаптер получает назначенный ему IP-адрес., либо через DHCP, либо статически.
Вы вручную создаете запись. Это может произойти, если вам нужно создать CNAME или другой тип записи, или если вам нужна запись A, которая не находится на доверенном компьютере AD, возможно, на сервере Linux или OS X, который вы хотите, чтобы ваши клиенты могли разрешать по имени.
Вы позволяете DHCP обновлять DNS при выдаче аренды. Это можно сделать, настроив DHCP для обновления записей от имени клиентов и добавив DHCP-сервер в группу DNSUpdateProxy AD. На самом деле это не очень хорошая идея, потому что это открывает путь к отравлению зоны. Отравление зоны (или отравление DNS) - это то, что происходит, когда клиентский компьютер обновляет зону вредоносной записью и пытается выдать себя за другой компьютер в вашей сети. Есть способы обезопасить это, и у него есть свои применения, но лучше оставить его в покое, если вы не знаете.
Итак, теперь, когда у нас это есть, мы можем вернуться на правильный путь. Вы настроили свои серверы AD DNS так, чтобы разрешать только безопасные обновления, ваша инфраструктура работает, и тогда вы понимаете, что у вас есть масса повторяющихся записей! Что с этим делать?
Эта статья обязательна к прочтению. В нем подробно описаны передовые методы и настройки, которые вам необходимо настроить для очистки. Это для Windows Server 2003, но все еще применимо. Прочтите это.
Очистка - это ответ на проблему с дублированием записей, описанную выше. Представьте, что у вас есть компьютер с IP-адресом 192.168.1.100. Он зарегистрирует запись A для этого адреса. Затем представьте, что он отключился на длительный период времени. Когда он снова включается, этот адрес занимает другая машина, поэтому он получает 192.168.1.120. Теперь для них обоих есть А-записи.
Если вы очистите свои зоны, это не будет проблемой. Устаревшие записи будут удалены через определенный интервал, и все будет в порядке. Просто убедитесь, что вы не собираете мусор все случайно, например, с интервалом в 1 день. Помните, что AD полагается на эти записи. Определенно настройте очистку, но делайте это ответственно, как указано в статье выше.
Итак, теперь у вас есть базовое представление о DNS и о том, как он интегрирован с Active Directory. Я буду добавлять кусочки и кусочки в будущем, но, пожалуйста, не стесняйтесь добавлять и свои собственные работы.