Frage Wie verhält sich DNS zu Active Directory und welche Konfigurationen sind mir bekannt?


Bitte beachten Sie, dass ich die Antwort darauf weiß und unten eine Antwort gegeben habe. Ich sehe viele neuere Systemadministratoren, die den Inhalt meiner Antwort nicht verstehen, also hoffe ich, dass alle Anfänger-AD-DNS-Fragen als Duplikat geschlossen werden. Wenn Sie eine kleine Verbesserung haben, können Sie meine Antwort bearbeiten. Wenn Sie eine umfassendere vollständige Antwort geben können, zögern Sie nicht, eine zu verlassen.

Wie verhält sich DNS zu Active Directory und welche Konfigurationen sind mir bekannt?


20
2017-10-23 02:52


Ursprung


Da sie separate Rollen sind, warum würdest du eins ohne das andere wählen? (Ich kenne auch die Antwort.) - Mark Hurd
Ich denke, das könnte tatsächlich besser zu der AD-Frage passen, zu der ich mich verbinde. Guter Vorschlag, obwohl! - MDMarra


Antworten:


Active Directory verlässt sich auf eine richtig konfiguriert und funktional DNS-Infrastruktur. Wenn Sie ein Active Directory-Problem haben, besteht die Möglichkeit, dass Sie ein DNS-Problem haben. Das erste, was Sie überprüfen sollten, ist DNS. Die zweite Sache, die Sie überprüfen sollten, ist DNS. Die dritte Sache, die Sie überprüfen sollten, ist DNS.

Was genau ist DNS?

Dies ist eine Website für Profis, also nehme ich an, dass Sie zumindest das Ausgezeichnete gelesen haben Wikipedia-Artikel. Kurz gesagt, DNS ermöglicht das Auffinden von IP-Adressen, indem ein Gerät nach dem Namen gesucht wird. Es ist entscheidend, dass das Internet so funktioniert, wie wir es kennen, und es läuft auf allen außer den kleinsten LANs.

DNS ist auf der grundlegendsten Ebene in drei grundlegende Teile unterteilt:

  • DNS-Server: Dies sind die Server, die sich im Besitz befinden Aufzeichnungen für alle Kunden, für die sie verantwortlich sind. In Active Directory führen Sie die DNS-Serverrolle auf einem Domänencontroller aus.

  • Zonen: Kopien von Zonen werden von Servern gehalten. Wenn Sie eine AD benannt haben ad.example.comDann gibt es eine Zone auf Ihren Domänencontrollern, auf der DNS installiert ist ad.example.com. Wenn du einen Computer namens hast computer und es wurde mit diesem DNS-Server registriert, es würde einen DNS-Eintrag namens erstellen computer im ad.example.com und Sie könnten diesen Computer über den vollqualifizierten Domänennamen (FQDN) erreichen computer.ad.example.com

  • Aufzeichnungen: Wie ich oben erwähnt habe, halten Zonen Aufzeichnungen. Ein Datensatz weist einen Computer oder Ressourcen einer bestimmten IP-Adresse zu. Die gebräuchlichste Art von Datensatz ist ein A-Datensatz, der einen Hostnamen und eine IP-Adresse enthält. Die zweithäufigsten sind CNAME-Datensätze. Ein CNAME enthält einen Hostnamen und einen anderen Hostnamen. Wenn Sie Hostname1 nachschlagen, führt er eine weitere Suche durch und gibt die Adresse für Hostname2 zurück. Dies ist nützlich, um Ressourcen wie einen Webserver oder eine Dateifreigabe zu verdecken. Wenn Sie einen CNAME für intranet.ad.example.com und der Server dahinter ändert sich, jeder kann weiterhin den ihm bekannten Namen verwenden und Sie müssen nur den CNAME-Datensatz aktualisieren, um auf den neuen Server zu verweisen. Nützlich, nicht wahr?

Ok, wie verhält es sich mit Active Directory?

Wenn Sie Active Directory und die DNS-Serverrolle auf Ihrem ersten Domänencontroller in der Domäne installieren, erstellt es automatisch zwei Forward-Lookupzonen für Ihre Domäne. Wenn Ihre AD-Domain ist ad.example.com wie im obigen Beispiel (Beachten Sie, dass Sie nicht nur verwenden sollten "example.com"als Domänenname für Active Directory), haben Sie eine Zone für ad.example.com und _msdcs.ad.example.com.

Was machen diese Zonen? GROSSE FRAGE! Lass uns mit dem beginnen _msdcs Zone. Es enthält alle Datensätze, die Ihre Clientcomputer benötigen, um Domänencontroller zu finden. Es enthält Datensätze zum Auffinden von AD-Standorten. Es hat Aufzeichnungen für die verschiedenen FSMO-Rolleninhaber. Es enthält sogar Einträge für Ihre KMS-Server, wenn Sie diesen optionalen Dienst ausführen. Wenn diese Zone nicht existiert, können Sie sich nicht bei Ihren Workstations oder Servern anmelden.

Was macht das? ad.example.com Zone halten? Es enthält alle Datensätze für Ihre Clientcomputer, Mitgliedsserver und die A-Einträge für Ihre Domänencontroller. Warum ist diese Zone wichtig? Damit Ihre Workstations und Server im Netzwerk miteinander kommunizieren können. Wenn diese Zone nicht existiert, könnten Sie sich wahrscheinlich anmelden, aber Sie könnten nicht viel mehr tun, außer im Internet zu surfen.

Wie bekomme ich Datensätze in diesen Zonen?

Nun, zum Glück für Sie, das ist einfach. Wenn Sie die DNS-Servereinstellungen während installieren und konfigurieren dcpromo, sollten Sie wählen zu erlauben Secure Updates Only wenn die Wahl gegeben ist. Dies bedeutet, dass nur bekannte Domänen-verbundene PCs ihre Datensätze erstellen / aktualisieren können.

Lass uns für eine Sekunde aufstehen. Es gibt ein paar Möglichkeiten, wie eine Zone Datensätze aufnehmen kann:

  1. Sie werden automatisch von Arbeitsstationen hinzugefügt, die für die Verwendung des DNS-Servers konfiguriert sind. Dies ist am üblichsten und sollte in den meisten Szenarien zusammen mit "Nur sichere Updates" verwendet werden. Es gibt einige Randfälle, in denen Sie diesen Weg nicht gehen wollen, aber wenn Sie das Wissen in dieser Antwort brauchen, dann ist dies die Art, wie Sie es tun wollen. Standardmäßig aktualisiert eine Windows-Arbeitsstation oder ein Windows-Server alle 24 Stunden seine eigenen Datensätze, oder wenn einem Netzwerkadapter eine IP-Adresse zugewiesen wirdentweder über DHCP oder statisch.

  2. Sie erstellen den Datensatz manuell. Dies kann passieren, wenn Sie einen CNAME- oder einen anderen Datensatztyp erstellen müssen oder wenn Sie einen A-Eintrag wünschen, der sich nicht auf einem vertrauenswürdigen AD-Computer befindet, möglicherweise einem Linux- oder OS X-Server, den Ihre Clients auflösen können namentlich.

  3. Sie lassen DHCP DNS aktualisieren, wenn Leases ausgegeben werden. Dazu konfigurieren Sie DHCP, um die Datensätze im Namen der Clients zu aktualisieren, und fügen den DHCP-Server der DNSUpdateProxy-AD-Gruppe hinzu. Dies ist nicht wirklich eine gute Idee, weil es Sie für Zonenvergiftung öffnet. Zonenvergiftung (oder DNS-Poisoning) tritt auf, wenn ein Clientcomputer eine Zone mit einem bösartigen Datensatz aktualisiert und versucht, die Identität eines anderen Computers in Ihrem Netzwerk anzunehmen. Es gibt Möglichkeiten, dies zu sichern, und es hat seinen Nutzen, aber Sie sind besser dran, es in Ruhe zu lassen, wenn Sie es nicht wissen.

So, jetzt da wir das aus dem Weg haben, können wir wieder auf Kurs kommen. Sie haben Ihre AD DNS-Server so konfiguriert, dass nur sichere Updates möglich sind. Ihre Infrastruktur tuckert mit und Sie werden feststellen, dass Sie eine Menge doppelter Datensätze haben! Was machst du da?

DNS Aufräumen

Dieser Artikel wird benötigt. Darin werden die bewährten Verfahren und Einstellungen beschrieben, die Sie zum Aufräumen konfigurieren müssen. Es ist für Windows Server 2003, aber es ist immer noch anwendbar. Lies es.

Scavenging ist die Antwort auf das Problem mit dem doppelten Datensatz, das oben gestellt wurde. Stellen Sie sich vor, Sie haben einen Computer mit der IP-Adresse 192.168.1.100. Es wird ein A-Eintrag für diese Adresse registriert. Stellen Sie sich dann vor, dass es für längere Zeit ausgeschaltet war. Wenn es wieder an ist, wird diese Adresse von einer anderen Maschine genommen, so wird es 192.168.1.120. Jetzt gibt es A-Datensätze für beide.

Wenn Sie Ihre Zonen aufspüren, wird dies kein Problem sein. Veraltete Datensätze werden nach einem bestimmten Intervall entfernt und es wird Ihnen nichts passieren. Stellen Sie nur sicher, dass Sie nicht aufräumen alles durch Zufall, wie bei einem 1-Tages-Intervall. Denken Sie daran, dass AD auf diese Datensätze angewiesen ist. Konfigurieren Sie das Aufräumen auf jeden Fall, aber tun Sie es verantwortungsvoll, wie im obigen Artikel beschrieben.

So, jetzt haben Sie ein grundlegendes Verständnis von DNS und wie es in Active Directory integriert ist. Ich werde Teile und Stücke auf der Straße hinzufügen, aber bitte zögern Sie nicht, Ihre eigene Arbeit hinzuzufügen.


26
2017-10-23 02:52



Ich würde ersetzen ad.example.com nur mit example.com. Ersteres verwirrt einen Leser (lesen: mich) zu glauben, dass es ein automatisch generierter Name sowie ist _msdtc (Ich habe den AD-Abschnitt übersprungen, weil ich DNS bereits richtig kenne). Ich muss noch ein Netzwerk sehen, das eine DNS-Subdomain speziell für das AD-Zeug verwendet. - ivan_pozdeev
Das macht es nicht korrekt. Sie sollten absolut keine Split-DNS mit Ihrer AD-Domain erstellen. Nur weil viele Leute etwas falsch machen macht es nicht richtig :) - MDMarra
Wenn das tatsächlich so ist, verdient dieses Thema eine Berichterstattung. Zumal sich die Frage nach "gemeinsamen Konfigurationen" richtet. Aus meiner Erfahrung besteht das einzige Problem in der Synchronisierung mit öffentlichem DNS. Aber das ist mehr wie ein Softwaremangel - algorithmisch gibt es hier keine Raketenwissenschaft. - ivan_pozdeev
serverfault.com/questions/402580/...  serverfault.com/questions/76715/... - MDMarra