DNS 与 Active Directory 有何关系?我应该注意哪些常见配置?

DNS 与 Active Directory 有何关系?我应该注意哪些常见配置?

请注意,我确实知道这个问题的答案,并在下面提供了一个答案。我发现很多新系统管理员不理解我的答案的内容,所以我希望所有初学者 AD DNS 问题都会被关闭,作为此问题的重复。如果您有小改进,请随时编辑我的答案。如果您可以提供更全面的完整答案,请随时留下一个。

DNS 与 Active Directory 有何关系?我应该注意哪些常见配置?

答案1

活动目录依赖于正确配置和功能DNS 基础设施。如果您遇到 Active Directory 问题,则很有可能遇到 DNS 问题。您应该检查的第一件事是 DNS。您应该检查的第二件事是 DNS。您应该检查的第三件事是 DNS。

DNS 到底是什么?

这是一个面向专业人士的网站,所以我假设你至少读过这篇优秀的维基百科文章简而言之,DNS 允许通过按名称查找设备来找到 IP 地址。它对于我们所知的互联网功能至关重要,并且它运行在除最小的 LAN 之外的所有 LAN 上。

DNS 从最基本的层面上分为三个基本部分:

  • DNS 服务器:这些服务器负责保存记录负责所有客户端。在 Active Directory 中,您在域控制器上运行 DNS 服务器角色。

  • 区域:区域的副本由服务器保存。如果您有一个名为 的 AD ad.example.com,则您的域控制器上有一个安装了名为 的 DNS 的区域ad.example.com。如果您有一台名为 的计算机computer,并且它已在该 DNS 服务器上注册,它将创建一个名为 的 DNS 记录computerad.example.com并且您将能够通过完全限定域名 (FQDN) 访问该计算机,该域名将是computer.ad.example.com

  • 记录:正如我上面提到的,区域保存记录。记录将计算机或资源映射到特定的 IP 地址。最常见的记录类型是 A 记录,其中包含主机名和 IP 地址。第二常见的是 CNAME 记录。CNAME 包含一个主机名和另一个主机名。当您查找主机名 1 时,它会执行另一次查找并返回主机名 2 的地址。这对于隐藏 Web 服务器或文件共享等资源很有用。如果您有一个 CNAME,intranet.ad.example.com并且它背后的服务器发生了变化,那么每个人都可以继续使用他们知道的名称,您只需更新 CNAME 记录以指向新服务器。有用吧?

好的,这与 Active Directory 有什么关系?

在域中的第一个域控制器上安装 Active Directory 和 DNS 服务器角色时,它会自动为域创建两个正向查找区域。如果您的 AD 域如上ad.example.com例所示(请注意,您不应仅使用“ example.com”作为 Active Directory 的域名ad.example.com),您将拥有和 的区域_msdcs.ad.example.com

这些区域有什么用?好问题!让我们从区域开始_msdcs。它保存了客户端计算机查找域控制器所需的所有记录。它包括用于定位 AD 站点的记录。它包含不同 FSMO 角色持有者的记录。如果您运行此可选服务,它甚至还保存了 KMS 服务器的记录。如果此区域不存在,那么您将无法登录到您的工作站或服务器。

区域包含什么ad.example.com?它包含客户端计算机、成员服务器的所有记录以及域控制器的 A 记录。为什么区域重要吗?这样您的工作站和服务器才能在网络上相互通信。如果不存在此区域,您可能可以登录,但除了浏览互联网之外,您无法做其他事情。

我如何获取这些区域的记录?

嗯,幸运的是,这很容易。在安装和配置 DNS 服务器设置时,如果可以选择,dcpromo您应该选择允许。这意味着只有已知的已加入域的 PC 才能创建/更新其记录。Secure Updates Only

让我们回顾一下。区域可以通过几种方式获取其中的记录:

  1. 它们由配置为使用 DNS 服务器的工作站自动添加。这是最常见的,在大多数情况下应与“仅安全更新”一起使用。有些极端情况您不想这样做,但如果您需要此答案中的知识,那么这就是您想要的方式。默认情况下,Windows 工作站或服务器将每 24 小时更新一次自己的记录,或者当网络适配器获得分配给它的 IP 地址时更新一次,通过 DHCP 或静态。

  2. 您手动创建记录。如果您需要创建 CNAME 或其他类型的记录,或者您想要不在受信任的 AD 计算机上的 A 记录(可能是您希望客户端能够通过名称解析的 Linux 或 OS X 服务器),则可能会发生这种情况。

  3. 当租约发放时,您可以让 DHCP 更新 DNS。您可以通过配置 DHCP 来代表客户端更新记录,并将 DHCP 服务器添加到 DNSUpdateProxy AD 组来实现这一点。这实际上不是一个好主意,因为它会让您面临区域中毒的风险。当客户端计算机使用恶意记录更新区域并试图冒充网络上的另一台计算机时,就会发生区域中毒(或 DNS 中毒)。有多种方法可以确保这一点,而且确实有其用途,但如果您不知道,最好不要管它。

所以,既然我们已经解决了这个问题,我们就可以回到正轨了。您已将 AD DNS 服务器配置为仅允许安全更新,您的基础设施正在运行,然后您意识到您有大量重复记录!您该怎么办?

DNS 清理

此篇文章为必读文章。它详细介绍了您需要为清理配置的最佳实践和设置。它适用于 Windows Server 2003,但仍然适用。阅读它。

清除是解决上述重复记录问题的答案。假设您有一台计算机,其 IP 为 192.168.1.100。它将为该地址注册一条 A 记录。然后,假设它已关闭很长时间。当它重新开机时,该地址已被另一台计算机占用,因此它会获得192.168.1.120。现在它们两台都有 A 记录。

如果你清理了你的区域,这不会是个问题。过时的记录将在一定时间间隔后被删除,这样你就没事了。只要确保你不清理一切意外地,例如使用 1 天间隔。请记住,AD 依赖这些记录。一定要配置清理,但要负责任地进行,如上文所述。

现在,您已经对 DNS 及其如何与 Active Directory 集成有了基本的了解。我将在后面添加一些内容,但您也可以随意添加自己的工作。

相关内容