DNS- und Active Directory-Konfiguration für eine Zweigstelle

8

Wir haben derzeit eine Niederlassung ohne Vor-Ort-Service, und das möchten wir ändern. Das größte Ziel ist die Einrichtung einiger Dateiserver, aber auch schnellere Anmeldungen und DNS-Auflösung sind willkommen.

Ich mache einige Experimente mit einigen VMs in einem separaten Subnetz / VLAN. Nehmen wir also an, ich habe Gesamtstruktur und Domäne domain.com:

  1. Es gibt einen einzelnen Standort Officemit einem Subnetz 192.168.1/24und einer einzelnen primären DNS-Zonedomain.com
  2. Ein sekundärer Standort TestSitemit einem Subnetz wurde hinzugefügt192.168.100/24
  3. Erstellt 192.168.100Reverse - Lookup - Zone in DNS
  4. Erstellt eine VM Branch-DC01mit Server 2012 und IP-Adresse192.168.100.1
  5. domain.comAls Mitglied hinzugefügt
  6. Installiert AD DSals schreibgeschützter Domänencontroller (RODC) inTestSite
  7. Der Hauptserver DNSfür Branch-DC01.domain.comist127.0.0.1
  8. Richten Sie den DHCP-Bereich für den neuen Server ein und konfigurieren Sie ihn so, dass DHCP DNS immer aktualisiert
  9. Erstellt Branch-PC01VM mit Windows 8 und hinzugefügtdomain.com
  10. Branch-PC01IP-Adresse 192.168.100.20von DHCP, DNS-Server 192.168.100.1, Eintrag für das Mitglied in der Forward-Lookup-Zone domain.comvorhanden, aber nicht in der Reverse-Lookup-Zone (signifikant?)
  11. Bei Branch-PC01Ausführung nslookup domain.com- Ergebnis kam mit IP-Adressen des Haupt DCsvon der OfficeSite ( 192.168.1Subnetz) zurück

Nun, das ist nicht richtig in meinem Kopf - sollte es nicht zurückkehren 192.168.100.1? Oder verstehe ich das ganze Konzept falsch - und wie sollen die Anmeldungen schneller sein?

Benötige ich eine separate DNS-Zone (wie würde das ohne eine Subdomain funktionieren, die ich nicht erstellen möchte, sofern dies nicht erforderlich ist)?

Alle Ideen / Artikel, auf die ich hingewiesen werden kann, wären großartig; Ich habe eine Reihe von TechNet-Artikeln gelesen und bin nicht klüger.

Vielen Dank

Aktualisieren

Vielen Dank an @TheCleaner und @ charleswj81 für Ihre Bemühungen.

Ich habe gerade nltest ausprobiert und das Ergebnis ist das gleiche von der Zweigstelle DC und dem Client-PC:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Update 2

  1. Bereinigte DNS-Einträge, sodass alle _sites-Container mit TestSite nur SRV-Einträge enthalten, für Branch-DC01die nach dem Neustart des Clients nichts geholfen hat.

  2. nltest auf dem Client:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com

    Gesamtstrukturname: domain.com

    Dc Site Name: Büro

    Unser Site Name: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN

    DNS_FOREST FULL_SECRET WS

    Der Befehl wurde erfolgreich ausgeführt

domain-name-system active-directory windows-server-2012 windows hyp
quelle
Überprüfen Sie zunächst auf dem Zweigstellen-PC, welcher DC Sie tatsächlich authentifiziert hat. Aus einer cmd-Zeile laufen : echo %LOGONSERVER%. Wenn Sie Site sagen, gehe ich davon aus, dass Sie ADS & S meinen und dass Sie dort separate Sites für Ihre Niederlassung haben?
TheCleaner
@TheCleaner echo %LOGONSERVER%kam mit einem Hostnamen eines der Haupt-DCs von der Haupt-Site zurück. Ja, ich habe eine separate Site mit angegebenem Subnetz und unter TestSite-> Serverskann ich die Test-DC als einzigen Eintrag sehen
hyp
Haben Sie es mehr als einmal getestet? Ich frage, weil bei einem RODC zwischengespeicherte Anmeldeinformationen verwendet werden. Wenn dies also das einzige / erste Mal ist, leitet es die Authentifizierungsanforderung an einen normalen DC weiter. Oh und die anderen DCs, sind sie mindestens 2008?
TheCleaner
Ich habe gerade den Client-PC neu gestartet und mich jedes Mal abgemeldet / wieder angemeldet, wenn% LOGONSERVER% einer der Hauptbüro-DCs ist. Wenn man sich DNS ansieht, sieht es so aus, als ob NS-Einträge für alle Domänencontroller (Zweigstelle + Büro) für die Zweig-Reverse-Lookup-Zone generiert wurden - ob dies hilfreich ist? Es wurde versucht, alle außer dem Zweig-DC aus dieser Zone zu löschen, aber sie werden nur erneut generiert ...
Hyp
@ TheCleaner hat vergessen, über die Version zu antworten - die Haupt-DCs sind 2x Server 2008 R2 + 1x Server 2012
Hyp

Antworten:

0

Es ist völlig normal, dass ein Client an einem Standort eine DNS-Auflösung für die Domäne an einen Domänencontroller an einem anderen Standort empfängt. Dies liegt an allen "(wie übergeordneten)" A-Datensätzen für die Domain Forward Lookup Zone. Jeder DC wird als Round Robin für die Domain aufgeführt.

Es ist nicht ideal für die Effizienz der DNS-Auflösung (und kann Probleme verursachen, wenn einige Websites nicht verfügbar sind), aber Sie können Dinge wie DNS mit Geotags einrichten, um dies zu verringern, und es ist ein völlig normales Verhalten. Sobald der Client einen DC oder einen DC erhält, um zu antworten, verwendet dieser DC die Sites and Zones-Konfiguration, um einen DC in seiner richtigen Zone abzurufen und den Client zu informieren, weitere Anforderungen an diesen DC zu richten. Sobald sich ein Client anmeldet, speichert er seine Site zwischen und verwendet meistens% LOGONSERVER% für zukünftige Transaktionen.

duct_tape_coder
quelle