GPO 工作是否需要将 DNS 指向域控制器？

Question 1

在 AD 中必须将 DNS 指向 DC

不。

唯一真正的 DNS 要求¹是您的 AD 域（带有子域）必须是可解析由客户端提供 - 但没有指定其所采用的具体路径。（“非权威答案”完全正常。）

例如，如果以下命令返回成功结果（带有区域信息的 SOA、带有服务详细信息的 SRV），则 DNS 配置应该良好。

nslookup -q=soa YOURDOMAIN
nslookup -q=srv _ldap._tcp.YOURDOMAIN
nslookup -q=srv _ldap._tcp.dc._msdcs.YOURDOMAIN

（SOA 不是严格要求的，但我将其包含在动态 DNS 更新中。还有其他必需的记录，例如_kerberos._tcp，但可能不需要测试其中的每一个。）

因此，如果从全局命名空间中选择了 AD 域，例如ad.example.com或corp.example.com，并且如果它被正确委派（即父example.com域具有正确的 NS 记录），并且如果您的常规的DNS 服务器可以将 DNS 查询转发到 AD DC（即端口 53 没有被防火墙关闭），这就足够了。

（~~DC 上的 DNS 端口不需要可供整个世界，仅限已加入的 PC。~~更正：需要 DNS 可访问解析器；即您的 PC 使用的 DNS 服务器。）
如果由于某种原因无法委派 AD 域（例如，如果您选择了虚构的 TLD，如example.corp），但 PC 仍然使用一些其他内部管理的 DNS 服务器，那么只需在这些 DNS 服务器上设置“正向区域”或“存根区域”即可。
如果你不能授权和不控制正在使用的 DNS 服务器...然后你有问题。你仍然可以使用一些技巧，比如对所有 DNS 请求进行 NAT，以便它们转到内部 DNS 服务器；这种方法虽然有效，但从原理上讲相当丑陋。
（以上三种情况实际上只是一如果您添加或移动 DC，则可以重新配置一个地方 - 无论是 NS/glue 记录还是“存根区域”配置等等。）

将 DNS 直接指向 DC 仅在极少数情况下有用，例如，使用 2-3 台 PC 设置“测试”域时，或者当 DC做事实上，它还是该组织的主要 DNS 解析器（我认为这违背了 Server 2016 之前的所有建议）。

¹当然还有其他与 DNS 无关要求也一样。至少，PC 必须能够访问 DC 上的 Kerberos 以进行身份验证；访问 LDAP（常规和全局目录）以查找 GPO 信息；访问 SMB（即文件共享）以下载 GPO 本身。

为了进行故障排除，我会在工作站上安装 Wireshark，启动数据包监控，并观察gpupdate /force运行时发生的情况。还有各种 Windows 旋钮可以激活 GPO 处理的详细日志记录。

Answer

在 AD 中必须将 DNS 指向 DC

不。

唯一真正的 DNS 要求¹是您的 AD 域（带有子域）必须是可解析由客户端提供 - 但没有指定其所采用的具体路径。（“非权威答案”完全正常。）

例如，如果以下命令返回成功结果（带有区域信息的 SOA、带有服务详细信息的 SRV），则 DNS 配置应该良好。

nslookup -q=soa YOURDOMAIN
nslookup -q=srv _ldap._tcp.YOURDOMAIN
nslookup -q=srv _ldap._tcp.dc._msdcs.YOURDOMAIN

（SOA 不是严格要求的，但我将其包含在动态 DNS 更新中。还有其他必需的记录，例如_kerberos._tcp，但可能不需要测试其中的每一个。）

因此，如果从全局命名空间中选择了 AD 域，例如ad.example.com或corp.example.com，并且如果它被正确委派（即父example.com域具有正确的 NS 记录），并且如果您的常规的DNS 服务器可以将 DNS 查询转发到 AD DC（即端口 53 没有被防火墙关闭），这就足够了。

（~~DC 上的 DNS 端口不需要可供整个世界，仅限已加入的 PC。~~更正：需要 DNS 可访问解析器；即您的 PC 使用的 DNS 服务器。）
如果由于某种原因无法委派 AD 域（例如，如果您选择了虚构的 TLD，如example.corp），但 PC 仍然使用一些其他内部管理的 DNS 服务器，那么只需在这些 DNS 服务器上设置“正向区域”或“存根区域”即可。
如果你不能授权和不控制正在使用的 DNS 服务器...然后你有问题。你仍然可以使用一些技巧，比如对所有 DNS 请求进行 NAT，以便它们转到内部 DNS 服务器；这种方法虽然有效，但从原理上讲相当丑陋。
（以上三种情况实际上只是一如果您添加或移动 DC，则可以重新配置一个地方 - 无论是 NS/glue 记录还是“存根区域”配置等等。）

将 DNS 直接指向 DC 仅在极少数情况下有用，例如，使用 2-3 台 PC 设置“测试”域时，或者当 DC做事实上，它还是该组织的主要 DNS 解析器（我认为这违背了 Server 2016 之前的所有建议）。

¹当然还有其他与 DNS 无关要求也一样。至少，PC 必须能够访问 DC 上的 Kerberos 以进行身份验证；访问 LDAP（常规和全局目录）以查找 GPO 信息；访问 SMB（即文件共享）以下载 GPO 本身。

为了进行故障排除，我会在工作站上安装 Wireshark，启动数据包监控，并观察gpupdate /force运行时发生的情况。还有各种 Windows 旋钮可以激活 GPO 处理的详细日志记录。

Question 2

不是为了贬低所提供的详细答案，但我不确定它是否完全回答了您的问题。

以下是关于其工作原理的一些简短回答。

1) 是的，您的计算机应该使用 DC 作为其唯一的 DNS 服务器。确实，您可以使用备用 DNS 服务器并转发请求或复制/复制记录，但这在较小的组织中很少见，并且需要更多的管理工作。而且，无论记录来自何处，都需要能够解析存储在 DC 上的所有记录。通常，您将使用内部 AD DNS 服务器作为内部系统，并将内部 DNS 服务器配置为将所有其他请求转发到 ISP 的 DNS 服务器 - 这是在“转发器”配置下完成的。

2) DHCP 动态地将 IP 地址信息分发给系统。在典型的 Active Directory 组织中，您将禁用任何路由器/网关上的 DHCP，并在您的其中一台服务器（通常是 DC）上启用 DHCP 角色。这是因为 DHCP 可以与您的 DNS 服务器协同工作以保持记录最新。在您的 DHCP 配置中，您将指定要用于内部系统的 DNS 服务器。一个拥有 200 个系统的组织不会或不应该使用静态 IP 寻址 - 因此 DNS 设置不是您需要在每个系统上更改的内容。您可以通过修改 DHCP 配置来集中管理它。您需要在组织内的所有子网上拥有正确配置的 DHCP 服务器。

3) 如果您更改 DC/DNS 服务器的 IP 地址，则只需更新 DHCP 以反映系统的这些更改。但是，您应该提前计划，不要创建需要更改 DC 的 IP 地址的情况，因为如果您这样做，除了 DNS 设置之外还会产生其他影响。

Answer