DNS, Active Directory ile nasıl ilişkilidir ve bilmem gereken bazı genel yapılandırmalar nelerdir?


23

Lütfen bunun cevabını bildiğimi ve aşağıdakileri verdiğimi unutmayın. Cevabımın içeriğini anlamayan birçok yeni sistem yöneticisi görüyorum, bu nedenle yeni başlayan tüm AD DNS sorularının bunun bir kopyası olarak kapatılacağını umuyorum. Küçük bir iyileştirme varsa, cevabımı düzenlemek için çekinmeyin. Daha kapsamlı ve eksiksiz bir cevap verebilirseniz, cevap vermekten çekinmeyin.

DNS, Active Directory ile nasıl ilişkilidir ve bilmem gereken bazı genel yapılandırmalar nelerdir?


Ayrı roller olduklarını görünce neden birini olmasın diğeri olsun? (Ben de cevabı biliyorum.)
Mark Hurd

Bağlandığım AD sorusu için gerçekten daha uygun olabileceğini düşünüyorum. Yine de iyi öneri!
MDMarra

Yanıtlar:


30

Active Directory , uygun şekilde yapılandırılmış ve işlevsel bir DNS altyapısına dayanır . Bir Active Directory sorununuz varsa, bir DNS sorununuz olması ihtimali de vardır. İlk kontrol etmeniz gereken şey DNS. Kontrol etmeniz gereken ikinci şey DNS. Kontrol etmeniz gereken üçüncü şey DNS.

DNS tam olarak nedir?

Bu, profesyoneller için bir site, bu yüzden en azından mükemmel Wikipedia makalesini okuduğunuzu farz edeceğim . Kısacası, DNS IP adreslerini bir cihaza isme göre bulmaya izin verir. İnternetin bildiğimiz şekilde çalışması kritiktir ve en küçük LAN'lar dışında hepsi çalışır.

DNS, en temel düzeyde üç temel parçaya bölünür:

  • DNS Sunucuları: Bunlar , sorumlu oldukları tüm müşterilerin kayıtlarını tutan sunuculardır . Active Directory'de, Etki Alanı Denetleyicileri üzerindeki DNS Sunucusu rolünü çalıştırın.

  • Bölgeler: Bölgelerin kopyaları sunucular tarafından tutulur. Adlandırılmış bir AD’niz ad.example.comvarsa, Etki Alanı Denetleyicilerinizde DNS adında bir bölge vardır ad.example.com. Bir bilgisayar adında varsa computerve bu DNS sunucusu ile tescil edilmiştir, bu isimli bir DNS kaydı yaratacak computeriçinde ad.example.comve olurdunuz tam etki alanı adı (FQDN) aracılığıyla o bilgisayarı ulaşmak mümkün olacaktırcomputer.ad.example.com

  • Kayıtlar: Yukarıda belirttiğim gibi, bölgeler kayıt tutuyor. Kayıt, bir bilgisayarı veya kaynakları belirli bir IP adresine eşler. En yaygın kayıt türü, bir ana bilgisayar adı ve bir IP adresi içeren bir A kaydıdır. İkinci en yaygın CNAME kayıtları. Bir CNAME, bir ana bilgisayar adı ve başka bir ana bilgisayar adı içerir. Hostname1'i aradığınızda, başka bir arama yapar ve hostname2'nin adresini döndürür. Bu, bir web sunucusu veya dosya paylaşımı gibi kaynakları gizlemek için kullanışlıdır. İçin bir CNAME'niz varsa intranet.ad.example.comve arkasındaki sunucu değişirse, herkes bildiği adı kullanmaya devam edebilir ve yalnızca yeni sunucuya işaret etmek için CNAME kaydını güncellemeniz gerekir. Faydalı ha?

Tamam, bunun Active Directory ile ilişkisi nedir?

Etki alanındaki ilk Etki Alanı Denetleyicinize Active Directory ve DNS Sunucusu rolü yüklediğinizde, etki alanınız için otomatik olarak iki ileriye doğru arama bölgesi oluşturur. AD etki alanınız ad.example.comyukarıdaki örnekteki gibi ise ( yalnızca " example.com" Active Directory için etki alanı adı olarak kullanmamanız gerektiğini unutmayın ), ad.example.comve için bir bölge olacaktır _msdcs.ad.example.com.

Bu bölgeler ne yapar? BÜYÜK SORU! _msdcsBölge ile başlayalım . İstemci makinelerinizin etki alanı denetleyicilerini bulmak için ihtiyaç duyduğu tüm kayıtları tutar. AD sitelerini bulmak için kayıtları içerir. Farklı FSMO rol sahipleri için kayıtları var. Bu isteğe bağlı hizmeti çalıştırırsanız, KMS sunucularınız için kayıtları bile tutar. Bu bölge olmasaydı, iş istasyonlarınıza veya sunucularınıza giriş yapamazsınız.

ad.example.comBölge ne tutar? İstemci bilgisayarlarınız, üye sunucularınız ve Etki Alanı Denetleyicileriniz için A kayıtlarının tüm kayıtlarını tutar. Bu bölge neden önemlidir? Böylece iş istasyonlarınız ve sunucularınız ağda birbirleriyle iletişim kurabilir. Bu bölge olmasaydı, muhtemelen giriş yapabilirdiniz, ancak İnternete göz atmak dışında başka bir şey yapamazsınız.

Bu bölgelerde kayıtları nasıl alabilirim?

Neyse ki senin için, bu kolay. Sırasında DNS sunucusu ayarlarını yükleyip yapılandırdığınızda , seçim dcpromoyapılıp yapılmamasına izin vermeyi seçmelisiniz Secure Updates Only. Bu, yalnızca bilinen etki alanına katılan PC'lerin kayıtlarını oluşturabileceği / güncelleyebileceği anlamına gelir.

Bir saniye bekleyelim. Bir bölgenin içinde kayıt alabilmesinin birkaç yolu vardır:

  1. DNS sunucusunu kullanmak için yapılandırılmış iş istasyonları tarafından otomatik olarak eklenirler. Bu en yaygın olanıdır ve çoğu senaryoda "Yalnızca Güvenli Güncelleştirmeler" ile birlikte kullanılmalıdır. Bu şekilde gitmek istemediğiniz bazı son durumlar vardır, ancak bu cevaptaki bilgiye ihtiyaç duyuyorsanız, o zaman bunu istediğiniz gibi yapabilirsiniz. Varsayılan olarak, bir Windows iş istasyonu veya sunucusu 24 saatte bir kendi kayıtlarını veya bir ağ bağdaştırıcısına DHCP veya statik olarak atanmış bir IP adresi aldığında günceller .

  2. Kaydı manuel olarak oluşturursunuz. Bir CNAME veya başka bir kayıt türü oluşturmanız gerekiyorsa veya güvenilir bir AD bilgisayarında olmayan bir A kaydı, belki de müşterilerinizin çözmesini istediğiniz bir Linux veya OS X sunucusu isimle.

  3. DHCP'nin kiralar dağıtıldığında DNS'yi güncellemesine izin veriyorsunuz. Bunu istemciler adına kayıtları güncellemek ve DHCP sunucusunu DNSUpdateProxy AD grubuna eklemek için DHCP'yi yapılandırarak yaparsınız. Bu gerçekten iyi bir fikir değil, çünkü sizi bölge zehirlenmesine neden oluyor. Bölge zehirlenmesi (veya DNS zehirlenmesi), bir istemci bilgisayar kötü amaçlı bir kaydı olan bir bölgeyi güncellediğinde ve ağınızdaki başka bir bilgisayarı taklit etmeye çalıştığında ne olur. Bunu güvenceye almanın yolları var ve kullanımları var, ama bilmiyorsanız yalnız bırakmaktan daha iyi olursunuz.

Böylece, artık yolumuza girebildiğimiz yoldan çıktık. AD DNS sunucularınızı yalnızca güvenli güncellemelere izin verecek şekilde yapılandırdınız, altyapınız sürekli çalışıyor ve bir sürü yinelenen kaydınız olduğunu fark ettiniz! Bu konuda ne yapıyorsun?

DNS atma

Bu makale okuma gereklidir . Temizleme için yapılandırmanız gereken en iyi uygulamaları ve ayarları ayrıntılandırır. Windows Server 2003 için, ancak yine de uygulanabilir. Oku onu.

Süpürme, yukarıda belirtilen yinelenen kayıt sorununun cevabıdır. 192.168.1.100 IP’ye sahip bir bilgisayarınız olduğunu hayal edin. Bu adres için bir A kaydı yapacak. Ardından, uzun bir süre kapalı kaldığını hayal edin. Tekrar açıldığında, bu adres başka bir makine tarafından alınır, böylece alır 192.168.1.120. Şimdi her ikisi için de A kaydı var.

Bölgelerinizi temizlerseniz, bu sorun olmaz. Eski kayıtlar belli bir aralıktan sonra kaldırılacak ve siz iyi olacaksınız. Sadece 1 günlük bir zaman aralığı kullanmak gibi her şeyi tesadüfen temizlemediğinizden emin olun . Unutmayın, AD bu kayıtlara dayanır. Süpürme işlemini kesinlikle yapılandırın, ancak yukarıdaki makalede belirtildiği gibi sorumlu bir şekilde yapın.

Öyleyse, şimdi DNS’i ve bunun Active Directory ile nasıl entegre edildiğini temel bir anlayışınız var. Yoldan biraz parça ve parça ekleyeceğim, ancak lütfen kendi çalışmanızı da eklemek için çekinmeyin.


Sadece ad.example.comile değiştiririm example.com. Eski bir okuyucuyu (okundu: ben) kendisinin de otomatikleştirilmiş bir isim olduğuna inanmakla karıştırır ( _msdtcAD bölümüne atladım çünkü zaten DNS'yi doğru biliyordum ). Henüz AD için özel olarak bir DNS alt etki alanı kullanan bir ağ görmedim.
ivan_pozdeev

2
Bu doğru yapmaz. AD etki alanınızla kesinlikle ayrık DNS oluşturmamalısınız. Sırf bir çok insanın yanlış yaptığı bir şey doğru yapmıyorsa :)
MDMarra

Bu gerçekten öyleyse, o zaman bu konu bir kapsama hak ediyor. Özellikle soru "ortak yapılandırmalar" ile ilgili olduğu için. Tecrübelerime göre, tek sorun ortak DNS ile senkronize etmektir. Ama bu daha çok bir yazılım eksikliğine benziyor - algoritmik olarak, burada roket bilimi yok.
ivan_pozdeev


Hem soru hem de cevap daha fazla hak kazanmayı hak ediyor
Andrea Ligios
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.