Please note that I do know the answer to this and have provided one below. I see a lot of newer systems administrators that don’t understand the contents of my answer,so I hope that all of the beginner AD DNS questions will be closed as a duplicate of this. If you have a minor improvement,feel free to edit my answer. If you can provide a more comprehensive complete answer,feel free to leave one.
DNS如何与Active Directory相关,以及我应该注意哪些常见配置?
解决方法
究竟什么是DNS?
这是专业人士的网站,所以我假设你至少阅读了优秀的Wikipedia article.简而言之,DNS允许通过按名称查找设备来找到IP地址.对我们所知道的互联网起着至关重要的作用,并且除了最小的局域网之外,它都可以运行.
DNS,在最基本的层面上分为三个基本部分:
> DNS服务器:这些服务器为其负责的所有客户端保存记录.在Active Directory中,您在域控制器上运行DNS服务器角色.
>区域:区域的副本由服务器保存.如果您有一个名为ad.example.com的AD,则您的域控制器上有一个安装了名为ad.example.com的DNS的区域.如果您有一台名为计算机的计算机并且已在该DNS服务器上注册,它将在ad.example.com中创建一个名为computer的DNS记录,您将能够通过完全限定域名(FQDN)访问该计算机.将是computer.ad.example.com
>记录:正如我上面提到的,区域有记录.记录将计算机或资源映射到特定的IP地址.最常见的记录类型是A记录,其中包含主机名和IP地址.第二个最常见的是CNAME记录. CNAME包含主机名和另一个主机名.当您查找hostname1时,它会执行另一次查找并返回hostname2的地址.这对于模糊Web服务器或文件共享等资源非常有用.如果您有intranet.ad.example.com的CNAME并且其后面的服务器发生更改,则每个人都可以继续使用他们知道的名称,您只需要更新CNAME记录以指向新服务器.有用啊?
好的,这与Active Directory有什么关系?
在域中的第一个域控制器上安装Active Directory和DNS服务器角色时,它会自动为您的域创建两个正向查找区域.如果您的AD域是ad.example.com,如上例(note that you should not use just “example.com” as a domain name for Active Directory)所示,您将拥有ad.example.com和_msdcs.ad.example.com的区域.
这些区域做了什么?很棒的问题!让我们从_msdcs区域开始.它包含客户端计算机查找域控制器所需的所有记录.它包括用于查找AD站点的记录.它有不同FSMO角色持有者的记录.如果您运行此可选服务,它甚至会保留KMS服务器的记录.如果此区域不存在,那么您将无法登录到工作站或服务器.
ad.example.com区域包含哪些内容?它包含您的客户端计算机,成员服务器和域控制器的A记录的所有记录.为什么这个区域很重要?这样您的工作站和服务器就可以在网络上相互通信.如果此区域不存在,您可能可能已登录,但除了浏览Internet之外,您将无法执行其他操作.
如何在这些区域中获取记录?
嗯,幸运的是,这很容易.在dcpromo期间安装和配置DNS服务器设置时,应该选择仅允许安全更新.这意味着只有已知的加入域的PC才能创建/更新其记录.
让我们回来一下.区域可以通过以下几种方式获取记录:
>它们由配置为使用DNS服务器的工作站自动添加.这是最常见的,在大多数情况下应与“仅安全更新”一起使用.有一些边缘情况你不想这样,但如果你需要这个答案的知识,那么这就是你想要的方式.默认情况下,Windows工作站或服务器将每24小时更新一次自己的记录,或者当网络适配器通过DHCP或静态获取分配给它的IP地址时.
>您手动创建记录.如果您需要创建CNAME或其他类型的记录,或者您希望A记录不在受信任的AD计算机上,可能是您希望客户端能够解析的Linux或OS X服务器,则可能会发生这种情况按名字.
>租约发放时,让DHCP更新DNS.您可以通过配置DHCP代表客户端更新记录并将DHCP服务器添加到DNSUpdateProxy AD组来完成此操作.这不是一个好主意,因为它会打开你的区域中毒.当客户端计算机更新带有恶意记录的区域并尝试模拟网络上的另一台计算机时,会发生区域中毒(或DNS中毒).有一些方法可以确保这一点,它确实有它的用途,但如果你不知道的话,最好不要管它.
所以,现在我们可以让我们重新走上正轨.您已将AD DNS服务器配置为仅允许安全更新,您的基础架构正在进行中,然后您意识到您有大量重复记录!你怎么办这个?
DNS清理
This article is required reading.它详细说明了为清理配置所需的最佳实践和设置.它适用于Windows Server 2003,但它仍然适用.阅读.
清除是上面提出的重复记录问题的答案.想象一下,你的计算机的IP为192.168.1.100.它将注册该地址的A记录.然后,想象它会在很长一段时间内断电.当它重新开启时,该地址由另一台机器获取,因此它获得192.168.1.120.现在有两个记录.
如果你清理你的区域,这不会是一个问题.一段时间后,陈旧记录将被删除,你会没事的.只要确保你不会意外地清除所有东西,比如使用1天的时间间隔.请记住,AD依赖于这些记录.绝对配置清理,但负责任地执行,如上文所述.
因此,现在您对DNS及其与Active Directory的集成方式有了基本的了解.我会在路上添加点点滴滴,但请随意添加自己的作品.
