请注意,我确实知道这个问题的答案,并在下面提供了一个。我看到很多新系统管理员不理解我回答的内容,所以我希望所有初学者 AD DNS 问题都将作为一个副本关闭。如果您有细微的改进,请随时编辑我的答案。如果你能提供更全面完整的答案,欢迎留一个。
DNS 与 Active Directory 有何关系?我应该注意哪些常见配置?
AskOverflow.Dev
Active Directory依赖于配置正确且功能正常的DNS 基础结构。如果您遇到 Active Directory 问题,很可能是您遇到了 DNS 问题。您应该检查的第一件事是 DNS。您应该检查的第二件事是 DNS。您应该检查的第三件事是 DNS。
DNS到底是什么?
这是一个面向专业人士的网站,所以我假设您至少已经阅读了优秀的维基百科文章。简而言之,DNS 允许通过按名称查找设备来找到 IP 地址。正如我们所知道的那样,Internet 的运行至关重要,它在除最小的 LAN 之外的所有 LAN 上运行。
DNS 在最基本的层面上分为三个基本部分:
DNS 服务器:这些是为它们负责的所有客户端保存记录的服务器。在 Active Directory 中,您在域控制器上运行 DNS 服务器角色。
区域:区域的副本由服务器保存。如果您有一个名为 AD 的 AD
ad.example.com,那么在您的域控制器上有一个区域安装了名为 DNS 的区域ad.example.com。如果您有一台名为的计算机computer并且它已在该 DNS 服务器上注册,它将创建一个名为computerin的 DNS 记录ad.example.com,您将能够通过完全限定的域名 (FQDN) 访问该计算机,这将是computer.ad.example.com记录:正如我上面提到的,区域保存记录。记录将计算机或资源映射到特定的 IP 地址。最常见的记录类型是 A 记录,其中包含主机名和 IP 地址。第二个最常见的是 CNAME 记录。CNAME 包含一个主机名和另一个主机名。当您查找主机名 1 时,它会执行另一次查找并返回主机名 2 的地址。这对于隐藏 Web 服务器或文件共享等资源很有用。如果你有一个 CNAME
intranet.ad.example.com并且它背后的服务器改变了,每个人都可以继续使用他们知道的名字,你只需要更新 CNAME 记录以指向新的服务器。有用吧?好的,这与 Active Directory 有什么关系?
当您在域中的第一个域控制器上安装 Active Directory 和 DNS 服务器角色时,它会自动为您的域创建两个正向查找区域。如果您的 AD 域
ad.example.com如上例所示(请注意,您不应该只使用“example.com”作为 Active Directory 的域名),您将拥有一个用于ad.example.com和的区域_msdcs.ad.example.com。这些区域有什么作用?好问题!让我们从
_msdcs区域开始。它包含您的客户端计算机查找域控制器所需的所有记录。它包括用于定位 AD 站点的记录。它具有不同 FSMO 角色持有者的记录。如果您运行此可选服务,它甚至会保存您的 KMS 服务器的记录。如果这个区域不存在,那么您将无法登录到您的工作站或服务器。该
ad.example.com区域包含什么?它包含您的客户端计算机、成员服务器的所有记录,以及域控制器的 A 记录。为什么这个区域很重要?使您的工作站和服务器可以在网络上相互通信。如果这个区域不存在,您可能可以登录,但除了浏览 Internet 之外,您将无法做其他事情。我如何获得这些区域中的记录?
嗯,对你来说幸运的是,这很容易。当您在 期间安装和配置 DNS 服务器设置时
dcpromo,如果有选择,您应该选择允许Secure Updates Only。这意味着只有已知的加入域的 PC 才能创建/更新它们的记录。让我们备份一下。区域可以通过几种方式获取其中的记录:
它们由配置为使用 DNS 服务器的工作站自动添加。这是最常见的,在大多数情况下应与“仅安全更新”一起使用。在某些极端情况下,您不想这样做,但如果您需要此答案中的知识,那么这就是您想要的方式。默认情况下,Windows 工作站或服务器将每 24 小时更新一次自己的记录,或者当网络适配器通过 DHCP 或静态方式获得分配给它的 IP 地址时。
您手动创建记录。如果您需要创建 CNAME 或其他类型的记录,或者如果您想要一个不在受信任的 AD 计算机上的 A 记录,可能会发生这种情况,可能是您希望客户端能够解析的 Linux 或 OS X 服务器按名字。
分发租约时让 DHCP 更新 DNS。为此,您可以将 DHCP 配置为代表客户端更新记录并将 DHCP 服务器添加到 DNSUpdateProxy AD 组。这真的不是一个好主意,因为它会让你容易受到区域中毒的影响。区域中毒(或 DNS 中毒)是当客户端计算机用恶意记录更新区域并试图冒充网络上的另一台计算机时发生的情况。有多种方法可以确保这一点,并且它确实有其用途,但如果您不知道,最好不要管它。
所以,既然我们已经解决了这个问题,我们就可以回到正轨了。您已将 AD DNS 服务器配置为仅允许安全更新,您的基础设施正在运转,然后您意识到您有大量重复记录!你怎么办?
DNS 清理
这篇文章是必读的。它详细说明了您需要为清理配置的最佳做法和设置。它适用于 Windows Server 2003,但仍然适用。阅读。
清除是上面提出的重复记录问题的答案。假设您有一台获得 IP 192.168.1.100 的计算机。它将为该地址注册一条 A 记录。然后,想象一下它已经关闭了很长一段时间。当它重新打开时,该地址被另一台机器占用,所以它得到
192.168.1.120. 现在他们两个都有A记录了。如果您清理您的区域,这将不是问题。过时的记录将在一定时间间隔后被删除,你会没事的。只需确保您不会意外清除所有内容,例如使用 1 天的间隔。请记住,AD 依赖于这些记录。一定要配置清理,但要负责任地进行,如上文所述。
所以,现在您对 DNS 及其如何与 Active Directory 集成有了基本的了解。我会在以后添加点点滴滴,但也请随时添加您自己的作品。