Active Directory ist auf eine ordnungsgemäß konfigurierte und funktionsfähige DNS-Infrastruktur angewiesen . Wenn Sie ein Active Directory-Problem haben, liegt möglicherweise ein DNS-Problem vor. Das erste, was Sie überprüfen sollten, ist DNS. Das zweite, was Sie überprüfen sollten, ist DNS. Das dritte, was Sie überprüfen sollten, ist DNS.
Was genau ist DNS?
Dies ist eine Website für Profis. Ich gehe also davon aus, dass Sie zumindest den hervorragenden Wikipedia-Artikel gelesen haben . Kurz gesagt, mit DNS können IP-Adressen gefunden werden, indem ein Gerät anhand seines Namens gesucht wird. Es ist wichtig, dass das Internet so funktioniert, wie wir es kennen, und dass es in allen LANs außer dem kleinsten ausgeführt wird.
DNS ist auf der grundlegendsten Ebene in drei grundlegende Teile unterteilt:
DNS-Server: Dies sind die Server, auf denen Datensätze für alle Clients gespeichert sind, für die sie verantwortlich sind. In Active Directory führen Sie die DNS-Serverrolle auf einem oder mehreren Domänencontrollern aus.
Zonen: Kopien von Zonen werden von Servern gehalten. Wenn Sie einen AD-Namen haben ad.example.com
, gibt es auf Ihren Domain Controllern eine Zone, auf der DNS mit dem Namen installiert ist ad.example.com
. Wenn Sie einen Computer mit dem Namen hat , computer
und es wurde mit dem DNS - Server registriert ist , würde es einen DNS - Eintrag namens erstellen computer
in ad.example.com
und Sie wären in der Lage , diesen Computer über den Fully Qualified Domain Namen (FQDN) zu erreichen, die sein würde ,computer.ad.example.com
Aufzeichnungen: Wie oben erwähnt, enthalten Zonen Aufzeichnungen. Ein Datensatz ordnet einen Computer oder Ressourcen einer bestimmten IP-Adresse zu. Die gebräuchlichste Art von Datensatz ist ein A-Datensatz, der einen Hostnamen und eine IP-Adresse enthält. Die zweithäufigsten sind CNAME-Einträge. Ein CNAME enthält einen Hostnamen und einen anderen Hostnamen. Wenn Sie nach hostname1 suchen, wird eine weitere Suche durchgeführt und die Adresse für hostname2 zurückgegeben. Dies ist nützlich, um Ressourcen wie einen Webserver oder eine Dateifreigabe zu verdecken. Wenn Sie einen CNAME für haben intranet.ad.example.com
und sich der Server dahinter ändert, kann jeder weiterhin den Namen verwenden, den er kennt, und Sie müssen nur den CNAME-Eintrag aktualisieren, um auf den neuen Server zu verweisen. Nützlich, was?
Ok, wie hängt das mit Active Directory zusammen?
Wenn Sie Active Directory und die DNS-Serverrolle auf Ihrem ersten Domänencontroller in der Domäne installieren, werden automatisch zwei Forward-Lookupzonen für Ihre Domäne erstellt. Wenn Ihre AD - Domäne ad.example.com
dem obigen Beispiel entspricht ( beachten Sie, dass Sie nicht nur " example.com
" als Domänennamen für Active Directory verwenden sollten ), verfügen Sie über eine Zone für ad.example.com
und _msdcs.ad.example.com
.
Was machen diese Zonen? GROSSE FRAGE! Beginnen wir mit der _msdcs
Zone. Es enthält alle Datensätze, die Ihre Clientcomputer benötigen, um Domänencontroller zu finden. Es enthält Datensätze zum Auffinden von AD-Standorten. Es verfügt über Aufzeichnungen für die verschiedenen FSMO-Rolleninhaber. Es werden sogar Datensätze für Ihre KMS-Server gespeichert, wenn Sie diesen optionalen Dienst ausführen. Wenn diese Zone nicht vorhanden wäre, könnten Sie sich nicht an Ihren Arbeitsstationen oder Servern anmelden.
Was beinhaltet die ad.example.com
Zone? Es enthält alle Datensätze für Ihre Clientcomputer, Mitgliedsserver und die A-Datensätze für Ihre Domänencontroller. Warum ist diese Zone wichtig? Damit Ihre Workstations und Server im Netzwerk miteinander kommunizieren können. Wenn diese Zone nicht vorhanden wäre, könnten Sie sich wahrscheinlich anmelden, aber Sie könnten nur im Internet surfen.
Wie erhalte ich Aufzeichnungen in diesen Zonen?
Zum Glück ist das ganz einfach. Wenn Sie die DNS-Servereinstellungen installieren und konfigurieren dcpromo
, sollten Sie auswählen, Secure Updates Only
ob die Auswahl zulässig ist. Dies bedeutet, dass nur bekannte PCs mit Domänenbeitritt ihre Datensätze erstellen / aktualisieren können.
Lassen Sie uns für eine Sekunde sichern. Es gibt verschiedene Möglichkeiten, wie eine Zone Datensätze abrufen kann:
Sie werden automatisch von Arbeitsstationen hinzugefügt, die für die Verwendung des DNS-Servers konfiguriert sind. Dies ist die am häufigsten verwendete Methode und sollte in den meisten Szenarien zusammen mit "Nur sichere Updates" verwendet werden. Es gibt einige Randfälle, in denen Sie diesen Weg nicht gehen möchten, aber wenn Sie das Wissen in dieser Antwort benötigen, dann ist dies der Weg, den Sie wollen. Standardmäßig aktualisiert eine Windows-Arbeitsstation oder ein Windows-Server alle 24 Stunden ihre eigenen Datensätze oder wenn einem Netzwerkadapter eine IP-Adresse zugewiesen wird , entweder über DHCP oder statisch.
Sie erstellen den Datensatz manuell. Dies kann vorkommen, wenn Sie einen CNAME oder einen anderen Datensatztyp erstellen müssen oder wenn Sie einen A-Datensatz benötigen, der sich nicht auf einem vertrauenswürdigen AD-Computer befindet, z. B. einen Linux- oder OS X-Server, den Ihre Clients auflösen sollen namentlich.
Sie lassen DHCP DNS aktualisieren, wenn Leases ausgegeben werden. Konfigurieren Sie dazu DHCP, um die Datensätze im Namen der Clients zu aktualisieren und den DHCP-Server der AD-Gruppe DNSUpdateProxy hinzuzufügen. Dies ist keine wirklich gute Idee, da es Sie für eine Zonenvergiftung öffnet. Zonenvergiftung (oder DNS-Vergiftung) tritt auf, wenn ein Clientcomputer eine Zone mit einem böswilligen Datensatz aktualisiert und versucht, sich als ein anderer Computer in Ihrem Netzwerk auszugeben. Es gibt Möglichkeiten, dies abzusichern, und es hat seine Verwendung, aber Sie sollten es lieber in Ruhe lassen, wenn Sie es nicht wissen.
Nun, da wir das nicht im Weg haben, können wir wieder auf Kurs kommen. Sie haben Ihre AD DNS-Server so konfiguriert, dass nur sichere Updates zugelassen werden, Ihre Infrastruktur tuckert und Sie stellen dann fest, dass Sie eine Menge doppelter Datensätze haben! Was machst du dagegen?
DNS-Bereinigung
Dieser Artikel muss gelesen werden . Hier werden die empfohlenen Vorgehensweisen und Einstellungen aufgeführt, die Sie für das Aufräumen konfigurieren müssen. Es ist für Windows Server 2003, aber es ist immer noch anwendbar. Lies es.
Das Aufräumen ist die Antwort auf das oben angesprochene Problem mit doppelten Datensätzen. Stellen Sie sich vor, Sie haben einen Computer mit einer IP-Adresse von 192.168.1.100. Es wird ein A-Datensatz für diese Adresse registriert. Stellen Sie sich dann vor, dass es sich über einen längeren Zeitraum ausgeschaltet hat. Wenn es wieder eingeschaltet ist, wird diese Adresse von einem anderen Computer übernommen, sodass sie abgerufen wird 192.168.1.120
. Jetzt gibt es für beide A-Datensätze.
Wenn Sie Ihre Zonen aufräumen, ist dies kein Problem. Veraltete Datensätze werden nach einem bestimmten Intervall entfernt und Sie werden in Ordnung sein. Stellen Sie nur sicher, dass Sie nicht versehentlich alles aufräumen, wie z. B. in Intervallen von einem Tag. Denken Sie daran, AD stützt sich auf diese Aufzeichnungen. Konfigurieren Sie das Aufräumen auf jeden Fall, aber führen Sie es verantwortungsbewusst aus, wie im obigen Artikel beschrieben.
Nun haben Sie ein grundlegendes Verständnis für DNS und dessen Integration in Active Directory. Ich werde später noch einiges hinzufügen, aber Sie können auch gerne Ihre eigene Arbeit hinzufügen.