Требуется ли указание DNS на контроллер домена для работы объектов групповой политики?
Позвольте мне предисловие к этому, сказав, что я ни в коем случае не обученный системный администратор, а, скорее, учусь на ходу . Приносим извинения, если ответ на мои вопросы очевиден, но я не смог найти точного ответа с помощью поиска Google / Serverfault.
Так что я отвечаю за управление примерно 200 компьютерами Windows, на которых я работаю, и я недавно узнал об этом Active Directory, чтобы легко вносить изменения на всех компьютерах, что просто замечательно. Итак, я установил контроллер домена и нашел сценарий .vbs для присоединения компьютеров к домену. Отлично.
За исключением того, что установленные мной объекты групповой политики не передаются на компьютеры. Я попытался запустить "gpupdate / force" на компьютере, и он показывает следующую ошибку
Ошибка обработки групповой политики. Windows попыталась получить новые параметры групповой политики для этого пользователя или компьютера. Посмотрите на вкладке подробностей код ошибки и описание. Windows автоматически повторит эту операцию при следующем цикле обновления. Компьютеры, присоединенные к домену, должны иметь правильное разрешение имен и сетевое подключение к контроллеру домена для обнаружения новых объектов и параметров групповой политики. Событие будет зарегистрировано при успешном выполнении групповой политики.
Обновление политики пользователя выполнено успешно.
Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT / H GPReport.html из командной строки, чтобы получить доступ к информации о группе Результаты политики.
Я еще немного посмотрел вокруг, и мне показалось, что когда я указываю DNS клиентов на контроллер домена, обновления проходят (запуск nsloookup {domain.com} возвращает неавторизованный ответ). Теперь может случиться так, что указание DNS на DC является обязательным в AD. Но я никогда не встречал упоминания об этом ни в одном из найденных мной руководств, что действительно странно. Так действительно ли это необходимо? ( Это наиболее близкий ответ, который я нашел на этот , который, кажется, предполагает утвердительный ответ, но действительно ли другого пути нет? Могу ли я вернуть авторитетный ответ в nslookup?)
Если это требуется Могу ли я обновить DNS всех компьютеров в домене, не обращаясь физически к каждому компьютеру?
Это также поднимает другую проблему. Что, если мне по какой-то причине придется изменить текущий IP DC. Нужно ли мне потом снова обновлять DNS на каждом компьютере?
Спасибо за ваше время и с нетерпением жду вашего совета.
Один из моих любимых DNS это ответ, вопрос не имеет значения ».
Групповые политики хранятся в папке FQDN \ Sysvol \ FQDN \ Policies - если вы не можете разрешить свое полное доменное имя из своего решения DNS, обработка GPO завершится ошибкой.
Домену Active Directory необходим DNS, он не должен быть интегрированным DNS AD (установка роли DNS-сервера на контроллере домена), но его легче администрировать. Если вы сделаете это, вы можете направить все свои доменные компьютеры на контроллер домена для DNS, и все готово.
Контроллер домена должен иметь один статический IP-адрес, это указано в качестве наилучшей практики и, как правило, все серверы из-за их характера чтобы быть в сети для обслуживания запросов, используйте статические IP-адреса. Имея это в виду, IP-адреса не должны меняться. Если IP-адрес действительно изменяется, существует множество сценариев для программного изменения IP-адресов DNS-серверов рядовых компьютеров, выполните поиск.
Как работает сценарий подключения компьютера к vbs? Ему нужен DNS для разрешения доменного имени для присоединения. Если сценарий работает, значит компьютер уже указывает на DNS-сервер, который указывает на домен, и обработка групповой политики должна быть в порядке. Предупреждение: вы можете получить «успешное» присоединение без фактического присоединения благодаря гениальному решению Microsoft включить «автономное присоединение к домену», чтобы уменьшить появление ошибок. Лучший способ проверить это - войти в систему с реальной учетной записью домена. Если вы получаете сообщение об ошибке типа «домен недоступен», значит, проблема с DNS все еще существует.
Краткий ответ на вопрос «нужен ли DNS, указывающий на контроллер домена для работы GPO?» - да. У spacenomyous есть ответ.
Я предполагаю, что если вы новичок в AD и DNS, вы также можете быть новичком в DHCP, который будет динамически предоставлять IP-адреса и соответствующие настройки клиентам. Вы можете добавить эту роль к DC (или другому серверу), а затем указать своим клиентам использовать DHCP для обновления сетевых настроек, включая записи DNS, чтобы все они указывали на внутренний DNS.
Если вам абсолютно необходимо установить их на каждый компьютер, тогда вам следует изучить некоторые сценарии Powershell для автоматизации. Если вы можете выполнить сценарий .vbs, то можете посмотреть следующую ссылку, чтобы узнать, как обновить клиенты:
https://www.pdq.com/blog/using-powershell-to-set-static -and-dhcp-ip-addresses-part-1 /