GPO 工作是否需要将 DNS 指向域控制器?

GPO 工作是否需要将 DNS 指向域控制器?

首先我要声明,我绝不是一个受过训练的系统管理员,而是一个边学边做的人。如果我的问题答案很明显,但我无法通过 Google/超级用户搜索找到它,请原谅。

所以我负责管理我工作的地方大约 200 台 Windows 计算机,我最近了解到这个活动目录可以轻松在所有计算机上进行更改,这真是太棒了。所以我设置了域控制器并找到一个.vbs脚本将计算机加入域。完美。

只是我设置的 GPO 并未推送到计算机上。我尝试在计算机上运行“gpupdate /force”,结果显示以下错误

组策略处理失败。Windows 尝试检索此用户或计算机的新组策略设置。在详细信息选项卡中查找错误代码和描述。Windows 将在下一个刷新周期自动重试此操作。加入域的计算机必须具有正确的名称解析和与域控制器的网络连接才能发现新的组策略对象和设置。组策略成功时将记录事件。

用户策略更新已成功完成。

要诊断故障,请查看事件日志或从命令行运行 GPRESULT /H GPReport.html 以访问有关组策略结果的信息。

我又查看了一下,似乎当我将客户端的 DNS 指向域控制器时,更新就会通过(运行 nsloookup {domain.com} 返回非权威答案)。现在,在 AD 中将 DNS 指向 DC 可能是强制性的。但我从未在找到的任何教程中看到过这一点,这真的很奇怪。那么这真的是必需的吗?如果是,有什么方法可以更新域中所有计算机的 DNS,而无需亲自访问每台计算机?

这也引发了另一个问题。如果我出于某种原因必须更改 DC 的当前 IP,该怎么办?我是否需要在每台计算机上再次更新 DNS?

感谢您的时间并期待您的建议。

答案1

在 AD 中必须将 DNS 指向 DC

不。

唯一真正的 DNS 要求1是您的 AD 域(带有子域)必须是可解析由客户端提供 - 但没有指定其所采用的具体路径。(“非权威答案”完全正常。)

例如,如果以下命令返回成功结果(带有区域信息的 SOA、带有服务详细信息的 SRV),则 DNS 配置应该良好。

nslookup -q=soa YOURDOMAIN
nslookup -q=srv _ldap._tcp.YOURDOMAIN
nslookup -q=srv _ldap._tcp.dc._msdcs.YOURDOMAIN

(SOA 不是严格要求的,但我将其包含在动态 DNS 更新中。还有其他必需的记录,例如_kerberos._tcp,但可能不需要测试其中的每一个。)

  • 因此,如果从全局命名空间中选择了 AD 域,例如ad.example.comcorp.example.com,并且如果它被正确委派(即父example.com域具有正确的 NS 记录),并且如果您的常规的DNS 服务器可以将 DNS 查询转发到 AD DC(即端口 53 没有被防火墙关闭),这就足够了。

    DC 上的 DNS 端口不需要可供整个世界,仅限已加入的 PC。更正:需要 DNS 可访问解析器;即您的 PC 使用的 DNS 服务器。)

  • 如果由于某种原因无法委派 AD 域(例如,如果您选择了虚构的 TLD,如example.corp),但 PC 仍然使用一些其他内部管理的 DNS 服务器,那么只需在这些 DNS 服务器上设置“正向区域”或“存根区域”即可。

  • 如果你不能授权不控制正在使用的 DNS 服务器...然后你有问题。你仍然可以使用一些技巧,比如对所有 DNS 请求进行 NAT,以便它们转到内部 DNS 服务器;这种方法虽然有效,但从原理上讲相当丑陋。

  • (以上三种情况实际上只是如果您添加或移动 DC,则可以重新配置一个地方 - 无论是 NS/glue 记录还是“存根区域”配置等等。)

将 DNS 直接指向 DC 仅在极少数情况下有用,例如,使用 2-3 台 PC 设置“测试”域时,或者当 DC事实上,它还是该组织的主要 DNS 解析器(我认为这违背了 Server 2016 之前的所有建议)。


1当然还有其他与 DNS 无关要求也一样。至少,PC 必须能够访问 DC 上的 Kerberos 以进行身份​​验证;访问 LDAP(常规和全局目录)以查找 GPO 信息;访问 SMB(即文件共享)以下载 GPO 本身。

为了进行故障排除,我会在工作站上安装 Wireshark,启动数据包监控,并观察gpupdate /force运行时发生的情况。还有各种 Windows 旋钮可以激活 GPO 处理的详细日志记录。

答案2

不是为了贬低所提供的详细答案,但我不确定它是否完全回答了您的问题。

以下是关于其工作原理的一些简短回答。

1) 是的,您的计算机应该使用 DC 作为其唯一的 DNS 服务器。确实,您可以使用备用 DNS 服务器并转发请求或复制/复制记录,但这在较小的组织中很少见,并且需要更多的管理工作。而且,无论记录来自何处,都需要能够解析存储在 DC 上的所有记录。通常,您将使用内部 AD DNS 服务器作为内部系统,并将内部 DNS 服务器配置为将所有其他请求转发到 ISP 的 DNS 服务器 - 这是在“转发器”配置下完成的。

2) DHCP 动态地将 IP 地址信息分发给系统。在典型的 Active Directory 组织中,您将禁用任何路由器/网关上的 DHCP,并在您的其中一台服务器(通常是 DC)上启用 DHCP 角色。这是因为 DHCP 可以与您的 DNS 服务器协同工作以保持记录最新。在您的 DHCP 配置中,您将指定要用于内部系统的 DNS 服务器。一个拥有 200 个系统的组织不会或不应该使用静态 IP 寻址 - 因此 DNS 设置不是您需要在每个系统上更改的内容。您可以通过修改 DHCP 配置来集中管理它。您需要在组织内的所有子网上拥有正确配置的 DHCP 服务器。

3) 如果您更改 DC/DNS 服务器的 IP 地址,则只需更新 DHCP 以反映系统的这些更改。但是,您应该提前计划,不要创建需要更改 DC 的 IP 地址的情况,因为如果您这样做,除了 DNS 设置之外还会产生其他影响。

相关内容