Configurazione DNS e Active Directory per una filiale

8

Al momento disponiamo di una filiale senza servizi in loco e vorremmo cambiarlo. L'obiettivo principale è configurare alcuni file server, ma saranno ben accetti anche accessi più veloci e risoluzione DNS.

Sto facendo alcuni esperimenti con alcune macchine virtuali su una sottorete / VLAN separata, quindi diciamo che ho foresta e dominio domain.com:

  1. Esiste un singolo sito Officecon una sottorete 192.168.1/24e una singola zona DNS primariadomain.com
  2. Aggiunto un sito secondario TestSitecon una sottorete192.168.100/24
  3. Creata 192.168.100zona di ricerca inversa in DNS
  4. Creata una VM che Branch-DC01esegue Server 2012, con indirizzo IP192.168.100.1
  5. Aggiunto a domain.comcome membro
  6. Installato AD DScome controller di dominio di sola lettura (RODC) inTestSite
  7. Il DNSserver principale per Branch-DC01.domain.comè127.0.0.1
  8. Configura l'ambito DHCP per il nuovo server e configurato per DHCP per aggiornare sempre DNS
  9. Branch-PC01VM creata con Windows 8 e aggiunta adomain.com
  10. Branch-PC01ottenuto l'indirizzo IP 192.168.100.20da DHCP, server DNS 192.168.100.1, voce per il membro presente nella zona di ricerca diretta domain.compresente ma non nella zona di ricerca inversa (significativa?)
  11. Su Branch-PC01eseguito nslookup domain.com- risultato è tornato con indirizzi IP del principale DCsdal Officesito ( 192.168.1subnet)

Ora questo non è giusto nella mia mente - non dovrebbe tornare 192.168.100.1? O sto fraintendendo l'intero concetto - e in che modo gli accessi dovrebbero essere più veloci?

Ho bisogno di una zona DNS separata (come funzionerebbe senza un sottodominio che non voglio creare, se non richiesto)?

Qualsiasi idea / articolo a cui posso essere indicato sarebbe fantastico; Ho letto un sacco di articoli TechNet e non sono il più saggio.

Grazie

Aggiornare

Mille grazie a @TheCleaner e @ charleswj81 i tuoi sforzi sono apprezzati.

Ho appena provato nltest e il risultato è lo stesso dal DC DC e dal PC client:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Aggiornamento 2

  1. Voci DNS pulite in modo che qualsiasi contenitore _sites con TestSite abbia solo record SRV per i Branch-DC01quali dopo il riavvio del client non è stato utile.

  2. nltest sul client:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com

    Nome foresta: domain.com

    Nome sito DC: Office

    Il nostro nome del sito: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN

    DNS_FOREST FULL_SECRET WS

    Il comando è stato completato correttamente`

domain-name-system  active-directory  windows-server-2012  windows 
HYP
fonte
Innanzitutto, controlla sul PC di filiale e vedi quale DC ti ha autenticato. Da una riga run cmd: echo %LOGONSERVER%. Quando dici sito, suppongo che intendi ADS & S e che ci siano siti separati lì per la tua filiale?
TheCleaner
@TheCleaner echo %LOGONSERVER%è tornato con un nome host di uno dei controller di dominio principale dal sito principale, sì, ho un sito separato con la sottorete specificato e sotto TestSite-> ServersRiesco a vedere il controller di dominio come l'unica voce
hyp
L'hai provato più di una volta? Chiedo perché con un controller di dominio di sola lettura utilizza le informazioni di accesso memorizzate nella cache, quindi se questa è l'unica / prima volta che inoltra la richiesta di autenticazione a un controller di dominio normale. Oh e gli altri DC, sono almeno nel 2008?
TheCleaner,
Ho appena riavviato il PC client e ho effettuato il logout / back in, ogni volta che% LOGONSERVER% è uno dei controller di dominio dell'ufficio principale. Guardando DNS sembra che i record NS siano stati generati per tutti i controller di dominio (filiale + ufficio) per la zona di ricerca inversa delle filiali - se questo è di aiuto? Ho provato a cancellare tutti tranne il ramo DC da quella zona, ma si sono appena generati di nuovo ...
hyp
@TheCleaner ha dimenticato di rispondere sulla versione: i controller di dominio principali sono 2x Server 2008 R2 + 1x Server 2012
hyp

Risposte:

0

È perfettamente normale che un client in un sito riceva la risoluzione DNS per il dominio a un controller di dominio in un sito diverso. Ciò è dovuto a tutti i record "(uguale a parent)" A per la zona di ricerca diretta del dominio. Ogni controller di dominio verrà elencato in round robin per il dominio.

Non è l'ideale per l'efficienza della risoluzione DNS (e può causare problemi se alcuni siti non sono disponibili) ma puoi impostare cose come il DNS con geotag per mitigarlo ed è un comportamento perfettamente normale. Una volta che il client riceve un controller di dominio, qualsiasi controller di dominio, per rispondere, quel controller di dominio utilizzerà la configurazione di siti e zone per recuperare un controller di dominio nella sua zona corretta e informerà il client di indirizzare ulteriori richieste a tale controller di dominio. Una volta che un client accede, memorizza nella cache il proprio sito e utilizza principalmente% LOGONSERVER% per transazioni future.

duct_tape_coder
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.