Active Directory si basa su un'infrastruttura DNS correttamente configurata e funzionale . Se hai un problema con Active Directory, è probabile che tu abbia un problema DNS. La prima cosa che dovresti controllare è DNS. La seconda cosa che dovresti controllare è DNS. La terza cosa che dovresti controllare è DNS.
Che cos'è esattamente il DNS?
Questo è un sito per professionisti, quindi suppongo che tu abbia almeno letto l'eccellente articolo di Wikipedia . In breve, DNS consente di trovare gli indirizzi IP cercando un dispositivo per nome. È fondamentale che Internet funzioni come lo conosciamo ed è eseguito su tutte le LAN tranne la più piccola.
DNS, al livello più elementare è suddiviso in tre parti fondamentali:
Server DNS: questi sono i server che contengono record per tutti i client di cui sono responsabili. In Active Directory, si esegue il ruolo Server DNS su un controller di dominio.
Zone: le copie delle zone sono gestite dai server. Se hai un AD nominato ad.example.com, allora c'è una zona sui tuoi controller di dominio su cui è installato DNS chiamato ad.example.com. Se avete un computer denominato computered è stato registrato con il server DNS, sarebbe creare un record DNS di nome computerin ad.example.come si sarebbe in grado di raggiungere quel computer tramite il Fully Qualified Domain Name (FQDN), che sarebbecomputer.ad.example.com
Record: come ho detto sopra, le zone contengono record. Un record mappa un computer o risorse a un indirizzo IP specifico. Il tipo più comune di record è un record A, che contiene un nome host e un indirizzo IP. Il secondo più comune sono i record CNAME. Un CNAME contiene un nome host e un altro nome host. Quando si cerca hostname1, esegue un'altra ricerca e restituisce l'indirizzo per hostname2. Ciò è utile per oscurare risorse come un server Web o la condivisione di file. Se hai un CNAME per intranet.ad.example.come il server dietro di esso cambia, tutti possono continuare a usare il nome che conoscono e devi solo aggiornare il record CNAME per puntare al nuovo server. Utile eh?
Ok, come si collega ad Active Directory?
Quando installi Active Directory e il ruolo del server DNS sul tuo primo controller di dominio nel dominio, vengono automaticamente create due zone di ricerca diretta per il tuo dominio. Se il tuo dominio AD è ad.example.comcome nell'esempio sopra ( nota che non dovresti usare solo " example.com" come nome di dominio per Active Directory ), avrai una zona per ad.example.come _msdcs.ad.example.com.
Cosa fanno queste zone? GRANDE DOMANDA! Cominciamo con la _msdcszona. Contiene tutti i record necessari ai computer client per trovare i controller di dominio. Include record per individuare siti AD. Ha registri per i diversi detentori del ruolo FSMO. Contiene anche record per i server KMS, se si esegue questo servizio opzionale. Se questa zona non esistesse, non sarebbe possibile accedere alle workstation o ai server.
Cosa contiene la ad.example.comzona? Contiene tutti i record per i computer client, i server membri e i record A per i controller di dominio. Perché questa zona è importante? In modo che le stazioni di lavoro e i server possano comunicare tra loro sulla rete. Se questa zona non esistesse, probabilmente potresti accedere, ma non saresti in grado di fare molto altro se non navigare in Internet.
Come ottengo i record in queste zone?
Bene, fortunatamente per te, è facile. Quando si installano e si configurano le impostazioni del server DNS durante dcpromo, è necessario scegliere Secure Updates Onlyse consentire la scelta. Ciò significa che solo i PC appartenenti al dominio noti possono creare / aggiornare i propri record.
Facciamo un passo indietro per un secondo. Esistono alcuni modi in cui una zona può ottenere record in essa:
Vengono aggiunti automaticamente dalle workstation configurate per utilizzare il server DNS. Questo è il più comune e dovrebbe essere usato insieme a "Solo aggiornamenti sicuri" nella maggior parte degli scenari. Ci sono alcuni casi limite in cui non vuoi andare in questo modo, ma se hai bisogno delle conoscenze in questa risposta, allora questo è il modo in cui vuoi farlo. Per impostazione predefinita, una workstation o un server Windows aggiornerà i propri record ogni 24 ore o quando a una scheda di rete viene assegnato un indirizzo IP , tramite DHCP o staticamente.
Si crea manualmente il record. Ciò può accadere se devi creare un CNAME o un altro tipo di record o se desideri un record A che non si trova su un computer AD attendibile, forse un server Linux o OS X che desideri che i tuoi clienti siano in grado di risolvere per nome.
Consenti al DHCP di aggiornare il DNS quando vengono distribuiti i contratti di locazione. A tale scopo, configurare DHCP per aggiornare i record per conto dei client e aggiungere il server DHCP al gruppo DNS DNSUpdateProxy. Questa non è davvero una buona idea, perché ti apre all'avvelenamento da zona. L'avvelenamento da zona (o avvelenamento da DNS) è ciò che accade quando un computer client aggiorna una zona con un record dannoso e tenta di impersonare un altro computer sulla rete. Ci sono modi per proteggerlo, e ha i suoi usi, ma è meglio lasciarlo da solo se non lo sai.
Quindi, ora che ce l'abbiamo fatta, possiamo tornare in pista. Hai configurato i tuoi server DNS AD per consentire solo aggiornamenti sicuri, la tua infrastruttura si sta riducendo, e poi ti rendi conto di avere un sacco di record duplicati! Cosa fai al riguardo?
DNS Scavenging
Questo articolo è obbligatorio per la lettura . Descrive in dettaglio le best practice e le impostazioni che è necessario configurare per lo scavenging. È per Windows Server 2003, ma è ancora applicabile. Leggilo.
Lo scavenging è la risposta al problema del record duplicato posto sopra. Immagina di avere un computer che ottiene un IP di 192.168.1.100. Registrerà un record A per quell'indirizzo. Quindi, immagina che si fosse spento per un lungo periodo di tempo. Quando è di nuovo acceso, quell'indirizzo è preso da un'altra macchina, quindi ottiene 192.168.1.120. Ora ci sono record A per entrambi.
Se ripulisci le tue zone, questo non sarà un problema. I record non aggiornati verranno rimossi dopo un certo intervallo e andrà tutto bene. Assicurati solo di non scavare tutto per caso, come usare un intervallo di 1 giorno. Ricorda, AD si basa su questi record. Configura sicuramente lo scavenging, ma fallo in modo responsabile, come indicato nell'articolo sopra.
Quindi, ora hai una conoscenza di base del DNS e di come è integrato con Active Directory. Aggiungerò frammenti lungo la strada, ma sentiti libero di aggiungere anche il tuo lavoro.