Назад | Перейти на главную страницу

Домен Active Directory, в котором полное доменное имя и имя NetBIOS совпадают

Я "унаследовал" старый домен (NT4, затем обновленный до смешанного режима Win2000 и теперь работающий на Win2003), где имя NetBIOS совпадает с именем DNS / FQDN, и это создает нам проблемы с удаленными клиентами, которые необходимо присоединить к домен.

Позволяет называть домен EXAMPLE: это обе имя NetBIOS и имя DNS, которое можно увидеть, открыв панель администрирования DNS. Внутри локальной сети, если не считать случайной путаницы в том, какой протокол разрешает имя машины, эта схема, похоже, работает.

В удаленных локальных сетях (подключенных через VPN) возникают проблемы: удаленный клиент не может подключиться к домену. В сообщении об ошибке указано, что DNS-запрос правильно возвращает список контроллеров домена, но с сервером домена невозможно связаться. С точки зрения возможности подключения все порты открыты внутри VPN, так что это не связано с ACL и т.п.

Скорее, используя Wireshark для проверки обмениваемых пакетов, я вижу много (неудачных) NBNS запросы - другими словами, удаленный компьютер использует метод разрешения широковещательной рассылки NetBIOS для поиска контроллера домена. Это явно не удастся, поскольку NetBIOS по своей конструкции не поддерживает маршрутизацию.

Короче говоря, кажется, что при вводе имени домена в стиле NetBIOS на панели графического интерфейса «Член домена:» Windows использует NetBIOS только для разрешения / поиска контроллеров домена без возврата DNS. В каком-то смысле этого можно даже ожидать: в конце концов, EXAMPLE не является допустимым DNS-именем (однако мне интересно, почему мастер создания домена позволил этому случиться в первом случае, но я отвлекся ...).

Итак, обойдя проблему, я протестировал несколько решений:

Последний подход (WINS) кажется явно лучше, поскольку он избегает распространения (потенциально изменяющегося) lmhosts файл удаленным клиентам. Однако хотелось бы решить проблему раз и навсегда.

Итак, мои вопросы:

Спасибо.

Разрешение имен WINS / Netbios никогда не должно использоваться для чего-либо из-за рисков безопасности. Кроме того, когда разрешение имени Netbios включено, Windows всегда выполняет поиск Netbios / WINS одновременно с поиском DNS, независимо от того, доступно ли имя в DNS или нет. Если в среде нет продуктов или приложений, которые не смогли бы выйти из строя из-за переименования домена, это может быть вариантом.

Вы можете прочитать о поддержке однокомпонентных DNS-имен:

https://support.microsoft.com/en-us/help/300684/deployment-and-operation-of-active-directory-domains-that-are-configured-by-using-single-label-dns-names

https://blogs.msmvps.com/acefekay/2009/11/12/active-directory-dns-domain-name-single-label-names/

К сожалению, вы работаете с версией Windows (2003), которая больше не поддерживается. Более современным тестом было бы использование зоны GlobalNames для однозначного / однозначного разрешения имен, но у вас этого нет.