Вопросы Теги

DNS и конфигурация Active Directory для филиала

У нас есть филиал без локальных сервисов в данный момент, и мы хотели бы изменить это. Самая большая цель состоит в том, чтобы установить некоторые файловые серверы, но более быстрые логины и разрешение DNS будут приветствоваться также.

Я делаю некоторые эксперименты с некоторым VMs в отдельной подсети / VLAN так скажем, у меня есть лес и домен domain.com:

  1. Существует единственный сайт Office с подсетью 192.168.1/24 и единственная Основная зона DNS domain.com
  2. Добавленный вторичный сайт TestSite с подсетью 192.168.100/24
  3. Созданный 192.168.100 обратная зона поиска в DNS
  4. Созданный VM Branch-DC01 выполнение Сервера 2012, с IP-адресом 192.168.100.1
  5. Добавленный к domain.com как участник
  6. Установленный AD DS как Контроллер домена только для чтения (RODC) в TestSite
  7. Основное DNS сервер для Branch-DC01.domain.com 127.0.0.1
  8. Установите объем DHCP для нового сервера и настроенный, чтобы DHCP всегда обновлял DNS
  9. Созданный Branch-PC01 VM, запускающий Windows 8 и, добавил к domain.com
  10. Branch-PC01 получил IP-адрес 192.168.100.20 от DHCP, сервера DNS 192.168.100.1, запись для участника во вперед зоне поиска domain.com подарок, но не в обратной зоне поиска (значительный?)
  11. На Branch-PC01 выполняемый nslookup domain.com - результат возвратился с IP-адресами основного DCs от Office сайт (192.168.1 подсеть)

Теперь это не правильно в моем уме - не был должен он возвращаться 192.168.100.1? Или я неправильно понимаю целое понятие - и как входы в систему, как предполагается, более быстры?

Мне нужна отдельная зона DNS (как это работало бы без субдомена, который я не хочу создавать, если не требуется)?

Любые идеи/статьи, которые на меня можно указать, были бы большими; я прочитал набор статей TechNet и ничего не узнал.

Спасибо

Обновление

Большое спасибо @TheCleaner и @charleswj81 Ваши усилия ценится.

Я только что попробовал nltest, и результатом является то же от DC ответвления и клиента ПК:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Обновление 2

  1. Убранные записи DNS так любые _sites контейнеры с TestSite имеют только записи SRV для Branch-DC01 которому после перезапуска клиента не помог.

  2. nltest на клиенте:

    'U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com

    Лесное название: domain.com

    Название сайта Dc: Office

    Наше название сайта: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN

    DNS_FOREST FULL_SECRET WS

    Команда завершается успешно'

8
задан 30 July 2018 в 21:40
1 ответ

Это совершенно нормально, если клиент на одном сайте получает разрешение DNS для домена DC на другом сайте. Причина в том, что все A-записи «(такие же, как родительские) для зоны прямого просмотра домена. Каждый DC будет включен в список для домена.

Это не самый лучший вариант для эффективности разрешения DNS (и может вызвать проблемы, если некоторые сайты недоступны), но вы можете настроить такие вещи, как DNS с геотегами, чтобы смягчить его. и это совершенно нормальное поведение. Как только клиент получит DC, любой DC, для ответа, этот DC будет использовать конфигурацию Sites and Zones, чтобы выбрать DC в своей соответствующей зоне и проинформировать клиента, чтобы он направил дальнейшие запросы к этому DC. Как только клиент входит в систему, он кэширует свой сайт и в основном использует% LOGONSERVER% для будущих транзакций.

0
ответ дан 2 December 2019 в 23:09

Теги

Похожие вопросы