DNS เกี่ยวข้องกับ Active Directory อย่างไรและมีการกำหนดค่าทั่วไปอะไรบ้างที่ฉันควรระวัง

โปรดทราบว่าฉันรู้คำตอบเกี่ยวกับเรื่องนี้และได้ระบุไว้ด้านล่าง ฉันเห็นผู้ดูแลระบบใหม่จำนวนมากที่ไม่เข้าใจเนื้อหาของคำตอบของฉันดังนั้นฉันหวังว่าคำถาม AD DNS สำหรับผู้เริ่มต้นทั้งหมดจะถูกปิดเหมือนซ้ำ หากคุณมีการปรับปรุงเล็กน้อยรู้สึกอิสระที่จะแก้ไขคำตอบของฉัน หากคุณสามารถให้คำตอบที่ครบถ้วนสมบูรณ์ยิ่งขึ้นอย่าลังเลที่จะออกไป

DNS เกี่ยวข้องกับ Active Directory อย่างไรและมีการกำหนดค่าทั่วไปอะไรบ้างที่ฉันควรระวัง

Active Directoryขึ้นอยู่กับโครงสร้างพื้นฐาน DNS ที่กำหนดค่าอย่างเหมาะสมและใช้งานได้ หากคุณมีปัญหาของ Active Directory โอกาสที่คุณจะมีปัญหา DNS สิ่งแรกที่คุณควรตรวจสอบคือ DNS สิ่งที่สองที่คุณควรตรวจสอบคือ DNS สิ่งที่สามที่คุณควรตรวจสอบคือ DNS

DNS คืออะไร

นี้เป็นเว็บไซต์สำหรับมืออาชีพดังนั้นฉันจะถือว่าคุณได้อย่างน้อยอ่านที่ดีเยี่ยมบทความวิกิพีเดีย โดยสรุป DNS ช่วยให้สามารถหาที่อยู่ IP ได้โดยค้นหาอุปกรณ์ตามชื่อ มันสำคัญอย่างยิ่งที่อินเทอร์เน็ตจะต้องทำงานอย่างที่เรารู้และมันทำงานได้ทุกอย่างยกเว้น LANs ที่เล็กที่สุด

DNS ในระดับพื้นฐานที่สุดแบ่งออกเป็นสามส่วนพื้นฐาน:

• เซิร์ฟเวอร์ DNS: เซิร์ฟเวอร์เหล่านี้เป็นเซิร์ฟเวอร์ที่จัดเก็บระเบียนสำหรับลูกค้าทั้งหมดที่รับผิดชอบ ใน Active Directory คุณเรียกใช้บทบาทเซิร์ฟเวอร์ DNS บนตัวควบคุมโดเมน

• Zones: โซนต่าง ๆ ถูกเก็บไว้ในเซิร์ฟเวอร์ หากคุณมีโฆษณาชื่อad.example.comมีโซนในตัวควบคุมโดเมนของคุณที่มีชื่อ DNS ติดตั้งad.example.comอยู่ หากคุณมีเครื่องคอมพิวเตอร์ที่ชื่อcomputerและได้รับการลงทะเบียนกับเซิร์ฟเวอร์ DNS ที่มันจะสร้างระเบียน DNS ที่มีชื่อcomputerในad.example.comและคุณจะสามารถเข้าถึงได้ผ่านทางคอมพิวเตอร์ที่ชื่อโดเมน (แบบเต็ม FQDN) ซึ่งจะเป็นcomputer.ad.example.com

• บันทึก: ดังที่ฉันได้กล่าวไว้ข้างต้นโซนเก็บบันทึก บันทึกแผนที่คอมพิวเตอร์หรือทรัพยากรไปยังที่อยู่ IP ที่เฉพาะเจาะจง ชนิดของระเบียนที่พบบ่อยที่สุดคือระเบียน A ซึ่งประกอบด้วยชื่อโฮสต์และที่อยู่ IP ส่วนใหญ่ที่สองคือระเบียน CNAME CNAME มีชื่อโฮสต์และชื่อโฮสต์อื่น เมื่อคุณค้นหา hostname1 จะทำการค้นหาอีกครั้งและส่งคืนที่อยู่ของ hostname2 สิ่งนี้มีประโยชน์สำหรับการบดบังทรัพยากรเช่นเว็บเซิร์ฟเวอร์หรือแชร์ไฟล์ หากคุณมี CNAME สำหรับintranet.ad.example.comและเซิร์ฟเวอร์ที่อยู่ด้านหลังเปลี่ยนแปลงทุกคนสามารถใช้ชื่อที่พวกเขารู้ต่อไปและคุณต้องอัปเดตระเบียน CNAME เพื่อชี้ไปที่เซิร์ฟเวอร์ใหม่ มีประโยชน์เหรอ?

ตกลงสิ่งนี้เกี่ยวข้องกับ Active Directory อย่างไร

เมื่อคุณติดตั้ง Active Directory และบทบาทเซิร์ฟเวอร์ DNS ใน Domain Controller ตัวแรกของคุณในโดเมนมันจะสร้างโซนการค้นหาแบบส่งต่อสองโซนสำหรับโดเมนของคุณโดยอัตโนมัติ หากโดเมนโฆษณาของคุณad.example.comในขณะที่ตัวอย่างข้างต้น (คนทราบว่าคุณไม่ควรใช้เพียงแค่ " example.com" เป็นชื่อโดเมนสำหรับ Active Directory ) คุณจะมีโซนสำหรับและad.example.com_msdcs.ad.example.com

โซนเหล่านี้ทำอะไร คำถามที่ดี! เริ่มจาก_msdcsโซนกันก่อน มันเก็บระเบียนทั้งหมดที่เครื่องไคลเอนต์ของคุณต้องการค้นหาตัวควบคุมโดเมน มันมีบันทึกเพื่อค้นหาเว็บไซต์โฆษณา มีเร็กคอร์ดสำหรับผู้ถือบทบาท FSMO ที่แตกต่างกัน มันยังเก็บบันทึกสำหรับเซิร์ฟเวอร์ KMS ของคุณหากคุณเรียกใช้บริการเสริมนี้ หากไม่มีโซนนี้คุณจะไม่สามารถเข้าสู่ระบบเวิร์กสเตชันหรือเซิร์ฟเวอร์ของคุณได้

อะไรad.example.comถือโซน? มันเก็บระเบียนทั้งหมดสำหรับคอมพิวเตอร์ไคลเอนต์ของคุณเซิร์ฟเวอร์สมาชิกและระเบียน A สำหรับตัวควบคุมโดเมนของคุณ เหตุใดโซนนี้จึงสำคัญ เพื่อให้เวิร์กสเตชันและเซิร์ฟเวอร์ของคุณสามารถสื่อสารระหว่างกันบนเครือข่าย หากไม่มีโซนนี้คุณอาจเข้าสู่ระบบได้ แต่คุณจะไม่สามารถทำอะไรได้มากไปกว่าท่องอินเทอร์เน็ต

ฉันจะรับเร็กคอร์ดในโซนเหล่านี้ได้อย่างไร

โชคดีสำหรับคุณนั่นเป็นเรื่องง่าย เมื่อคุณติดตั้งและกำหนดค่าการตั้งค่าเซิร์ฟเวอร์ DNS ระหว่างdcpromoนั้นคุณควรเลือกที่จะอนุญาตSecure Updates Onlyหากได้รับตัวเลือก ซึ่งหมายความว่าพีซีที่เข้าร่วมกับโดเมนที่รู้จักเท่านั้นที่สามารถสร้าง / อัปเดตระเบียนของพวกเขาได้

สำรองข้อมูลกันก่อน มีหลายวิธีที่โซนสามารถรับระเบียนได้:

1. จะถูกเพิ่มโดยอัตโนมัติโดยเวิร์กสเตชันที่กำหนดค่าให้ใช้เซิร์ฟเวอร์ DNS นี่เป็นเรื่องธรรมดาที่สุดและควรใช้ควบคู่กับ "การปรับปรุงที่ปลอดภัยเท่านั้น" ในสถานการณ์ส่วนใหญ่ มีบางกรณีที่คุณไม่ต้องการใช้วิธีนี้ แต่ถ้าคุณต้องการความรู้ในคำตอบนี้ก็เป็นวิธีที่คุณต้องการ ตามค่าเริ่มต้นเวิร์กสเตชัน Windows หรือเซิร์ฟเวอร์จะอัปเดตบันทึกของตัวเองทุก 24 ชั่วโมงหรือเมื่ออะแดปเตอร์เครือข่ายได้รับที่อยู่ IP ที่กำหนดให้ผ่านทาง DHCP หรือแบบคงที่

2. คุณสร้างระเบียนด้วยตนเอง สิ่งนี้อาจเกิดขึ้นหากคุณต้องการสร้าง CNAME หรือบันทึกประเภทอื่นหรือหากคุณต้องการบันทึก A ที่ไม่ได้อยู่ในคอมพิวเตอร์โฆษณาที่เชื่อถือได้อาจเป็นเซิร์ฟเวอร์ Linux หรือ OS X ที่คุณต้องการให้ลูกค้าแก้ไขได้ โดยชื่อ.

3. คุณปล่อยให้ DHCP อัปเดต DNS เมื่อมีการส่งสัญญาเช่า คุณทำได้โดยการกำหนดค่า DHCP เพื่ออัปเดตระเบียนในนามของลูกค้าและเพิ่มเซิร์ฟเวอร์ DHCP ไปยังกลุ่มโฆษณา DNSUpdateProxy นี่ไม่ใช่ความคิดที่ดีเพราะจะเปิดโอกาสให้คุณได้รับพิษจากโซน โซนเป็นพิษ (หรือการเป็นพิษ DNS) เป็นสิ่งที่เกิดขึ้นเมื่อคอมพิวเตอร์ไคลเอนต์อัปเดตโซนด้วยระเบียนที่เป็นอันตรายและพยายามปลอมตัวเป็นคอมพิวเตอร์เครื่องอื่นในเครือข่ายของคุณ มีวิธีการรักษาความปลอดภัยนี้และมันมีการใช้งาน แต่คุณควรทิ้งไว้คนเดียวถ้าคุณไม่รู้

ดังนั้นตอนนี้เราก็มีวิธีที่เราสามารถกลับไปติดตาม คุณได้กำหนดค่าเซิร์ฟเวอร์ AD DNS ของคุณให้อนุญาตเฉพาะการอัปเดตที่ปลอดภัยโครงสร้างพื้นฐานของคุณถูกตรวจสอบแล้วคุณจะรู้ว่าคุณมีระเบียนที่ซ้ำกันมากมาย! คุณทำอะไรเกี่ยวกับเรื่องนี้?

DNS Scavenging

บทความนี้จะต้องอ่าน มันมีรายละเอียดวิธีปฏิบัติที่ดีที่สุดและการตั้งค่าที่คุณจะต้องกำหนดค่าสำหรับการขับ ใช้สำหรับ Windows Server 2003 แต่ยังใช้งานได้ อ่านมัน

การไล่เป็นคำตอบสำหรับปัญหาการบันทึกที่ซ้ำกันที่ถูกวางไว้ข้างต้น ลองนึกภาพว่าคุณมีคอมพิวเตอร์ที่ได้รับ IP 192.168.1.100 มันจะลงทะเบียนบันทึก A สำหรับที่อยู่นั้น จากนั้นลองจินตนาการว่ามันปิดลงเป็นระยะเวลานาน 192.168.1.120เมื่อมันกลับมาอยู่ที่ดำเนินการโดยเครื่องอื่นเพื่อที่จะได้รับ ขณะนี้มีระเบียน A สำหรับทั้งคู่

หากคุณไล่โซนของคุณสิ่งนี้จะไม่เป็นปัญหา ระเบียนที่ค้างจะถูกลบหลังจากช่วงเวลาหนึ่งและคุณจะไม่เป็นไร ตรวจสอบให้แน่ใจว่าคุณไม่ได้กำจัดทุกสิ่งโดยไม่ตั้งใจเช่นใช้ช่วงเวลา 1 วัน โปรดจำไว้ว่าโฆษณาขึ้นอยู่กับบันทึกเหล่านี้ กำหนดค่าการกำจัดอย่างแน่นอน แต่ต้องรับผิดชอบตามที่อธิบายไว้ในบทความข้างต้น

ดังนั้นตอนนี้คุณมีความเข้าใจพื้นฐานเกี่ยวกับ DNS และวิธีรวมเข้ากับ Active Directory ฉันจะเพิ่มบิตและชิ้นส่วนตามท้องถนน แต่โปรดเพิ่มงานของคุณเองเช่นกัน