In welcher Beziehung steht DNS zu Active Directory und welche allgemeinen Konfigurationen sollten beachtet werden?

23

Bitte beachten Sie, dass ich die Antwort darauf kenne und eine unten angegeben habe. Ich sehe viele neuere Systemadministratoren, die den Inhalt meiner Antwort nicht verstehen. Daher hoffe ich, dass alle Anfänger-AD-DNS-Fragen als Duplikat davon geschlossen werden. Wenn Sie eine geringfügige Verbesserung feststellen, können Sie meine Antwort jederzeit bearbeiten. Wenn Sie eine umfassendere, vollständige Antwort geben können, können Sie eine hinterlassen.

In welcher Beziehung steht DNS zu Active Directory und welche allgemeinen Konfigurationen sollten beachtet werden?

domain-name-system active-directory MDMarra
quelle
Warum sollten Sie sich für eine Rolle ohne die andere entscheiden? (Ich kenne auch die Antwort.)
Mark Hurd
Ich denke, das passt vielleicht besser zu der AD-Frage, auf die ich verweise. Guter Vorschlag!
MDMarra

Antworten:

30

Active Directory ist auf eine ordnungsgemäß konfigurierte und funktionsfähige DNS-Infrastruktur angewiesen . Wenn Sie ein Active Directory-Problem haben, liegt möglicherweise ein DNS-Problem vor. Das erste, was Sie überprüfen sollten, ist DNS. Das zweite, was Sie überprüfen sollten, ist DNS. Das dritte, was Sie überprüfen sollten, ist DNS.

Was genau ist DNS?

Dies ist eine Website für Profis. Ich gehe also davon aus, dass Sie zumindest den hervorragenden Wikipedia-Artikel gelesen haben . Kurz gesagt, mit DNS können IP-Adressen gefunden werden, indem ein Gerät anhand seines Namens gesucht wird. Es ist wichtig, dass das Internet so funktioniert, wie wir es kennen, und dass es in allen LANs außer dem kleinsten ausgeführt wird.

DNS ist auf der grundlegendsten Ebene in drei grundlegende Teile unterteilt:

  • DNS-Server: Dies sind die Server, auf denen Datensätze für alle Clients gespeichert sind, für die sie verantwortlich sind. In Active Directory führen Sie die DNS-Serverrolle auf einem oder mehreren Domänencontrollern aus.

  • Zonen: Kopien von Zonen werden von Servern gehalten. Wenn Sie einen AD-Namen haben ad.example.com, gibt es auf Ihren Domain Controllern eine Zone, auf der DNS mit dem Namen installiert ist ad.example.com. Wenn Sie einen Computer mit dem Namen hat , computerund es wurde mit dem DNS - Server registriert ist , würde es einen DNS - Eintrag namens erstellen computerin ad.example.comund Sie wären in der Lage , diesen Computer über den Fully Qualified Domain Namen (FQDN) zu erreichen, die sein würde ,computer.ad.example.com

  • Aufzeichnungen: Wie oben erwähnt, enthalten Zonen Aufzeichnungen. Ein Datensatz ordnet einen Computer oder Ressourcen einer bestimmten IP-Adresse zu. Die gebräuchlichste Art von Datensatz ist ein A-Datensatz, der einen Hostnamen und eine IP-Adresse enthält. Die zweithäufigsten sind CNAME-Einträge. Ein CNAME enthält einen Hostnamen und einen anderen Hostnamen. Wenn Sie nach hostname1 suchen, wird eine weitere Suche durchgeführt und die Adresse für hostname2 zurückgegeben. Dies ist nützlich, um Ressourcen wie einen Webserver oder eine Dateifreigabe zu verdecken. Wenn Sie einen CNAME für haben intranet.ad.example.comund sich der Server dahinter ändert, kann jeder weiterhin den Namen verwenden, den er kennt, und Sie müssen nur den CNAME-Eintrag aktualisieren, um auf den neuen Server zu verweisen. Nützlich, was?

Ok, wie hängt das mit Active Directory zusammen?

Wenn Sie Active Directory und die DNS-Serverrolle auf Ihrem ersten Domänencontroller in der Domäne installieren, werden automatisch zwei Forward-Lookupzonen für Ihre Domäne erstellt. Wenn Ihre AD - Domäne ad.example.comdem obigen Beispiel entspricht ( beachten Sie, dass Sie nicht nur " example.com" als Domänennamen für Active Directory verwenden sollten ), verfügen Sie über eine Zone für ad.example.comund _msdcs.ad.example.com.

Was machen diese Zonen? GROSSE FRAGE! Beginnen wir mit der _msdcsZone. Es enthält alle Datensätze, die Ihre Clientcomputer benötigen, um Domänencontroller zu finden. Es enthält Datensätze zum Auffinden von AD-Standorten. Es verfügt über Aufzeichnungen für die verschiedenen FSMO-Rolleninhaber. Es werden sogar Datensätze für Ihre KMS-Server gespeichert, wenn Sie diesen optionalen Dienst ausführen. Wenn diese Zone nicht vorhanden wäre, könnten Sie sich nicht an Ihren Arbeitsstationen oder Servern anmelden.

Was beinhaltet die ad.example.comZone? Es enthält alle Datensätze für Ihre Clientcomputer, Mitgliedsserver und die A-Datensätze für Ihre Domänencontroller. Warum ist diese Zone wichtig? Damit Ihre Workstations und Server im Netzwerk miteinander kommunizieren können. Wenn diese Zone nicht vorhanden wäre, könnten Sie sich wahrscheinlich anmelden, aber Sie könnten nur im Internet surfen.

Wie erhalte ich Aufzeichnungen in diesen Zonen?

Zum Glück ist das ganz einfach. Wenn Sie die DNS-Servereinstellungen installieren und konfigurieren dcpromo, sollten Sie auswählen, Secure Updates Onlyob die Auswahl zulässig ist. Dies bedeutet, dass nur bekannte PCs mit Domänenbeitritt ihre Datensätze erstellen / aktualisieren können.

Lassen Sie uns für eine Sekunde sichern. Es gibt verschiedene Möglichkeiten, wie eine Zone Datensätze abrufen kann:

  1. Sie werden automatisch von Arbeitsstationen hinzugefügt, die für die Verwendung des DNS-Servers konfiguriert sind. Dies ist die am häufigsten verwendete Methode und sollte in den meisten Szenarien zusammen mit "Nur sichere Updates" verwendet werden. Es gibt einige Randfälle, in denen Sie diesen Weg nicht gehen möchten, aber wenn Sie das Wissen in dieser Antwort benötigen, dann ist dies der Weg, den Sie wollen. Standardmäßig aktualisiert eine Windows-Arbeitsstation oder ein Windows-Server alle 24 Stunden ihre eigenen Datensätze oder wenn einem Netzwerkadapter eine IP-Adresse zugewiesen wird , entweder über DHCP oder statisch.

  2. Sie erstellen den Datensatz manuell. Dies kann vorkommen, wenn Sie einen CNAME oder einen anderen Datensatztyp erstellen müssen oder wenn Sie einen A-Datensatz benötigen, der sich nicht auf einem vertrauenswürdigen AD-Computer befindet, z. B. einen Linux- oder OS X-Server, den Ihre Clients auflösen sollen namentlich.

  3. Sie lassen DHCP DNS aktualisieren, wenn Leases ausgegeben werden. Konfigurieren Sie dazu DHCP, um die Datensätze im Namen der Clients zu aktualisieren und den DHCP-Server der AD-Gruppe DNSUpdateProxy hinzuzufügen. Dies ist keine wirklich gute Idee, da es Sie für eine Zonenvergiftung öffnet. Zonenvergiftung (oder DNS-Vergiftung) tritt auf, wenn ein Clientcomputer eine Zone mit einem böswilligen Datensatz aktualisiert und versucht, sich als ein anderer Computer in Ihrem Netzwerk auszugeben. Es gibt Möglichkeiten, dies abzusichern, und es hat seine Verwendung, aber Sie sollten es lieber in Ruhe lassen, wenn Sie es nicht wissen.

Nun, da wir das nicht im Weg haben, können wir wieder auf Kurs kommen. Sie haben Ihre AD DNS-Server so konfiguriert, dass nur sichere Updates zugelassen werden, Ihre Infrastruktur tuckert und Sie stellen dann fest, dass Sie eine Menge doppelter Datensätze haben! Was machst du dagegen?

DNS-Bereinigung

Dieser Artikel muss gelesen werden . Hier werden die empfohlenen Vorgehensweisen und Einstellungen aufgeführt, die Sie für das Aufräumen konfigurieren müssen. Es ist für Windows Server 2003, aber es ist immer noch anwendbar. Lies es.

Das Aufräumen ist die Antwort auf das oben angesprochene Problem mit doppelten Datensätzen. Stellen Sie sich vor, Sie haben einen Computer mit einer IP-Adresse von 192.168.1.100. Es wird ein A-Datensatz für diese Adresse registriert. Stellen Sie sich dann vor, dass es sich über einen längeren Zeitraum ausgeschaltet hat. Wenn es wieder eingeschaltet ist, wird diese Adresse von einem anderen Computer übernommen, sodass sie abgerufen wird 192.168.1.120. Jetzt gibt es für beide A-Datensätze.

Wenn Sie Ihre Zonen aufräumen, ist dies kein Problem. Veraltete Datensätze werden nach einem bestimmten Intervall entfernt und Sie werden in Ordnung sein. Stellen Sie nur sicher, dass Sie nicht versehentlich alles aufräumen, wie z. B. in Intervallen von einem Tag. Denken Sie daran, AD stützt sich auf diese Aufzeichnungen. Konfigurieren Sie das Aufräumen auf jeden Fall, aber führen Sie es verantwortungsbewusst aus, wie im obigen Artikel beschrieben.

Nun haben Sie ein grundlegendes Verständnis für DNS und dessen Integration in Active Directory. Ich werde später noch einiges hinzufügen, aber Sie können auch gerne Ihre eigene Arbeit hinzufügen.

MDMarra
quelle
Ich würde ad.example.commit nur ersetzen example.com. Ersteres verwirrt einen Leser (lies: mich), dass es sich auch um einen automatisch generierten Namen handelt _msdtc(ich habe den AD-Abschnitt übersprungen, weil ich DNS bereits richtig kenne). Ich habe noch kein Netzwerk gefunden, das eine DNS-Unterdomäne speziell für AD-Inhalte verwendet.
ivan_pozdeev
2
Das macht es nicht richtig. Sie sollten auf keinen Fall Split DNS mit Ihrer AD-Domain erstellen. Nur weil viele Leute etwas falsch machen, macht es nicht richtig :)
MDMarra
Wenn dies tatsächlich so ist, dann verdient dieses Thema eine Berichterstattung. Zumal es sich um "gängige Konfigurationen" handelt. Meiner Erfahrung nach besteht das einzige Problem in der Synchronisierung mit öffentlichem DNS. Aber das ist eher ein Software-Manko - algorithmisch gibt es hier keine Raketenwissenschaft.
ivan_pozdeev
2
serverfault.com/questions/402580/… serverfault.com/questions/76715/…
MDMarra
Sowohl die Frage als auch die Antwort verdienen mehr Gegenstimmen
Andrea Ligios