分支机构的 DNS 和 Active Directory 配置

分支机构的 DNS 和 Active Directory 配置

我们目前有一个分支机构没有现场服务,我们想改变这种情况。最大的目标是设置一些文件服务器,但更快的登录和 DNS 解析也会受到欢迎。

我正在对单独的子网/VLAN 上的一些虚拟机进行一些实验,因此假设我有林和域domain.com

  1. 有一个Office具有子网192.168.1/24和单个主 DNS 区域的站点domain.com
  2. TestSite添加了具有子网的辅助站点192.168.100/24
  3. 在 DNS 中创建192.168.100反向查找区域
  4. 创建运行 Server 2012 的虚拟机Branch-DC01,其 IP 地址192.168.100.1
  5. 已添加domain.com为会员
  6. AD DS作为只读域控制器 (RODC)安装在TestSite
  7. DNS服务器Branch-DC01.domain.com127.0.0.1
  8. 为新服务器设置 DHCP 范围,并将 DHCP 配置为始终更新 DNS
  9. 创建Branch-PC01运行 Windows 8 的虚拟机并添加到domain.com
  10. Branch-PC01192.168.100.20从 DHCP、DNS 服务器获取了 IP 地址192.168.100.1,正向查找区域中domain.com存在成员的条目,但反向查找区域中不存在该条目(重要吗?)
  11. Branch-PC01执行后nslookup domain.com,结果返回了主DCs站点Office192.168.1子网)的 IP 地址

现在我觉得这不对 - 它不应该返回吗192.168.100.1?还是我误解了整个概念 - 登录应该如何更快?

我是否需要一个单独的 DNS 区域(如果没有子域名(除非需要,否则我不想创建子域名)它将如何工作)?

任何可以向我指出的想法/文章都将非常有用;我已经阅读了大量 TechNet 文章,但仍然一无所知。

谢谢

更新

非常感谢@TheCleaner 和@charleswj81,感谢你们的努力。

我刚刚尝试了 nltest,分支 DC 和客户端 PC 的结果相同:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

更新 2

  1. 清理 DNS 条目,因此任何带有 TestSite 的 _sites 容器都只有 SRV 记录,Branch-DC01而客户端重新启动后对此没有帮助。
  2. 客户端上的 nltest:

    `U:>nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com
    
      Address: \\192.168.1.3
    
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
    
     Dom Name: domain.com
    

    林名称:domain.com

    Dc 站点名称:Office

    我们的网站名称:TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
    

    DNS_FOREST 完整机密 WS

    命令已成功完成`

答案1

一个站点的客户端接收域到另一个站点的 DC 的 DNS 解析是完全正常的。这是因为域正向查找区域的所有“(与父级相同)”A 记录。每个 DC 都将针对域循环列出。

它不是最理想的 DNS 解析效率(如果某些站点不可用,可能会导致问题),但您可以设置诸如地理标记 DNS 之类的东西来缓解它,这是完全正常的行为。一旦客户端获得 DC(任何 DC)以做出响应,该 DC 将利用站点和区域配置来获取其适当区域中的 DC,并通知客户端将进一步的请求定向到该 DC。一旦客户端登录,它就会缓存其站点并主要利用 %LOGONSERVER% 进行未来的交易。

答案2

DNS 不保证返回最接近您的 IP(除非您启用了根据请求者的 IP 返回不同结果的功能)。它是循环的。此外,结果可能在分支 DC 启动并运行之前缓存。

此外,在选择 DC 进行身份验证时,Windows 不依赖 DNS A 记录。它有一个称为 DC 定位器的进程,可以自动为您选择昂贵的租赁 DC。

不要从 DHCP 获取 DC 的 IP。它需要静态 IP。

相关内容