Назад | Перейти на главную страницу

Как сослаться на контроллер домена из локальной сети?

У нас есть несколько серверов, разбросанных по разным хостинг-провайдерам. Для обучения, экспериментов и, в конечном итоге, в производственных целях я установил одного из них в качестве контроллера домена.

Все прошло хорошо, большинство наших сервисов теперь проходят аутентификацию через AD, что нам очень помогает.

Сейчас я хочу упростить аутентификацию для нескольких серверов, заставив каждый из них смотреть на контроллер домена. Таким образом, наши разработчики могут входить (удаленный рабочий стол) на несколько серверов с одинаковыми учетными данными из AD.

Я знаю, что мне нужно настроить каждый сервер так, чтобы он смотрел на контроллер домена.

Но когда я пытаюсь добавить контроллер домена к компьютеру, он не может его найти, хотя адрес контроллера домена является действительным, доступным поддоменом в Интернете (например, ad.ourcompany.com).

Это подробное сообщение об ошибке:

Примечание. Эта информация предназначена для сетевого администратора. Если вы не являетесь администратором своей сети, сообщите администратору, что вы получили эту информацию, которая была записана в файле C: \ Windows \ debug \ dcdiag.txt.

Следующая ошибка произошла, когда DNS был запрошен для записи ресурса местоположения службы (SRV), используемой для поиска контроллера домена Active Directory для домена ad.ourcompany.com:

Ошибка была: «DNS-имя не существует». (код ошибки 0x0000232B RCODE_NAME_ERROR)

Запрос был для записи SRV для _ldap._tcp.dc._msdcs.ad.ourcompany.com

К распространенным причинам этой ошибки относятся следующие:

  • Записи DNS SRV, необходимые для нахождения AD DC для домена, не зарегистрированы в DNS. Эти записи автоматически регистрируются на DNS-сервере при добавлении AD DC в домен. Они обновляются AD DC через заданные интервалы. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:

    109.188.207.9

    109.188.207.10

  • Одна или несколько из следующих зон не включают делегирование в свою дочернюю зону:

    ad.ourcompany.com

    ourcompany.com com

    . (корневая зона)

Для получения информации об устранении этой проблемы щелкните «Справка».

Что мне не хватает?

Я опытный разработчик, но новичок, Сисдамин, экспериментирую с новыми вещами.

Отказ от ответственности

Все IP-адреса и домены / поддомены были изменены в целях безопасности. Если случайно вы все еще видите личную информацию, дайте мне знать, чтобы я мог ее изменить.

Ради всего святого, не используйте контроллеры домена, доступные через Интернет. Это выпрашивание катастрофы. Вам необходимо настроить межсайтовые VPN между вашими сайтами и убедиться, что ваша подсеть / поддомен, на котором находится AD, НЕ доступен для других пользователей в Интернете через что-либо, кроме VPN.

В IPv4 это означает, что ваши контроллеры домена (а также вся ваша внутренняя сеть) должны иметь адрес с частной маршрутизацией Такие как 10.x.x.x 192.168.x.x или 172.16-31.x.x, а не начинать с публично маршрутизируемого октета, например 109.

НЕ Просто проделайте дыры в своих брандмауэрах, чтобы все заработало, пожалуйста.

Подсказка в сообщении об ошибке: серверы, которые вы планируете присоединить к домену, должны использовать DNS-серверы, которые содержат вашу зону AD DNS, в качестве своих DNS-серверов. Похоже, они используют некоторые общедоступные DNS-серверы, которые, как я предполагаю, не являются DNS-серверами, содержащими вашу зону AD DNS.

joeqwerty на высоте.

Чтобы компьютер присоединился к домену, он ищет записи SRV. Если клиенты находятся на том же сайте, что и DC, измените DNS на клиентах, чтобы они указывали на ваш DC, в противном случае следуйте инструкциям ниже.

Я предполагаю, что реклама в объявление.ourcompany.com - это имя хоста для вашего контроллера домена? Если это так, вам следует попробовать присоединиться к домену, не размещая объявления. часть - укажите только домен.

Похоже, для вашего сервера настроена только запись A. Клиентский компьютер сначала ищет _ldap._tcp.dc._msdcs.ourcompany.com, который затем должен указывать на ad.ourcompany.com. (или yourdc.ad.ourcompany.com)

Если вы создаете эту запись SRV, доступную в общедоступном Интернете, это должно устранить эту ошибку. Также проверьте DNS на вашем контроллере домена на наличие других соответствующих записей SRV, которые требуются вашей настройке AD.

Однако по соображениям безопасности я бы предпочел настроить локальный DNS-сервер на сайте (ах), на котором находятся ваши клиентские ПК, на которых хранятся соответствующие записи SRV, чтобы они были доступны не всем и каждому.

Удалите все записи DNS-сервера из конфигурации вашей сети IPv4. Затем добавьте свой IPv4-адрес DNS-сервера как единственный. Также может потребоваться очистить dnscache.