Позвольте мне предварить это, сказав, что я ни в коем случае не обученный системный администратор, а, скажем так, учусь на ходу. Приносим извинения, если ответ на мои вопросы очевиден, но я не смог найти точного ответа с помощью поиска Google / Serverfault.
Так что я отвечаю за управление примерно 200 компьютерами с Windows, на которых я работаю, и недавно я узнал об этом активном каталоге, который позволяет легко вносить изменения на всех компьютерах, что просто здорово. Итак, я настроил контроллер домена и нашел скрипт .vbs присоединить компы к домену. Отлично.
За исключением того, что установленные мной GPO не передаются на компьютеры. Я попытался запустить "gpupdate / force" на компьютере, и он показывает следующую ошибку
Ошибка обработки групповой политики. Windows попыталась получить новые параметры групповой политики для этого пользователя или компьютера. Посмотрите на вкладке подробностей код ошибки и описание. Windows автоматически повторит эту операцию при следующем цикле обновления. Компьютеры, присоединенные к домену, должны иметь правильное разрешение имен и сетевое подключение к контроллеру домена для обнаружения новых объектов и параметров групповой политики. Событие будет зарегистрировано при успешном выполнении групповой политики.
Обновление пользовательской политики успешно завершено.
Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT / H GPReport.html из командной строки, чтобы получить доступ к информации о результатах групповой политики.
Я осмотрелся еще немного, и кажется, что когда я указываю DNS клиентов на контроллер домена, обновления проходят (запуск nsloookup {domain.com} возвращает неавторизованный ответ). Теперь может случиться так, что указание DNS на DC является обязательным в AD. Но я никогда не встречал упоминания об этом ни в одном из найденных мной руководств, что действительно странно. Так действительно ли это требуется? (Это самый близкий ответ, который я нашел на этот что, кажется, предполагает да, но действительно ли другого пути нет? Разве я не могу вернуть авторитетный ответ на nslookup?)
Если это необходимо, могу ли я обновить DNS всех компьютеров в домене, физически не переходя на каждый компьютер?
Это также поднимает другую проблему. Что, если мне по какой-то причине придется изменить текущий IP-адрес DC. Нужно ли мне потом снова обновлять DNS на каждом компьютере?
Спасибо за ваше время и с нетерпением жду вашего совета.
Один из моих любимых «DNS - это ответ, вопрос не имеет значения».
Групповые политики хранятся в папке FQDN \ Sysvol \ FQDN \ Policies - если вы не можете разрешить полное доменное имя из своего решения DNS, обработка GPO завершится ошибкой.
Домен Active Directory нуждается в DNS, а не в иметь быть интегрированным DNS AD (установка роли DNS-сервера на контроллере домена), но его легче администрировать. Если вы сделаете это, вы можете направить все компьютеры своего домена на контроллер домена для DNS, и все готово.
Контроллер домена должен иметь один статический IP-адрес, это рекомендуется в качестве передовой практики, и обычно все серверы из-за того, что они находятся в сети для запросов на обслуживание, используют статические IP-адреса. Имея это в виду, IP-адреса не должны меняться. Если IP-адрес действительно изменится, существует множество сценариев для программного изменения IP-адресов DNS-серверов рядовых компьютеров, выполните поиск.
Как компьютер присоединяется к скрипту vbs? Ему нужен DNS для разрешения имени домена для присоединения. Если сценарий работает, значит компьютер уже указывает на DNS-сервер, который указывает на домен, и обработка групповой политики должна быть в порядке. Предупреждение: вы можете получить «успешное» присоединение без фактического присоединения благодаря гениальному решению Microsoft включить «автономное присоединение к домену», чтобы уменьшить появление ошибок. Лучший способ проверить это - войти в систему с реальной учетной записью домена. Если вы получаете сообщение об ошибке типа «домен недоступен», значит, проблема с DNS все еще существует.
Краткий ответ на вопрос «нужен ли DNS, указывающий на контроллер домена для работы GPO?» - да. у spacenomyous есть ответ там.
Я предполагаю, что если вы новичок в AD и DNS, вы также можете быть новичком в DHCP, который будет динамически предоставлять IP-адреса и связанные с ними настройки клиентам. Вы можете добавить эту роль к DC (или другому серверу), а затем указать своим клиентам использовать DHCP для обновления сетевых настроек, включая записи DNS, чтобы все они указывали на внутренний DNS.
Если вам абсолютно необходимо установить их на каждом компьютере, вам следует изучить некоторые сценарии Powershell для автоматизации. Если вы можете выполнить сценарий .vbs, то можете посмотреть следующую ссылку, чтобы узнать, как обновить клиенты:
https://www.pdq.com/blog/using-powershell-to-set-static-and-dhcp-ip-addresses-part-1/