我们目前有一个分支机构没有现场服务,我们想改变这种情况。最大的目标是设置一些文件服务器,但更快的登录和 DNS 解析也会受到欢迎。
我正在对单独的子网/VLAN 上的一些虚拟机进行一些实验,因此假设我有林和域domain.com
:
- 有一个
Office
具有子网192.168.1/24
和单个主 DNS 区域的站点domain.com
TestSite
添加了具有子网的辅助站点192.168.100/24
- 在 DNS 中创建
192.168.100
反向查找区域 - 创建运行 Server 2012 的虚拟机
Branch-DC01
,其 IP 地址192.168.100.1
- 已添加
domain.com
为会员 AD DS
作为只读域控制器 (RODC)安装在TestSite
- 主
DNS
服务器Branch-DC01.domain.com
是127.0.0.1
- 为新服务器设置 DHCP 范围,并将 DHCP 配置为始终更新 DNS
- 创建
Branch-PC01
运行 Windows 8 的虚拟机并添加到domain.com
Branch-PC01
192.168.100.20
从 DHCP、DNS 服务器获取了 IP 地址192.168.100.1
,正向查找区域中domain.com
存在成员的条目,但反向查找区域中不存在该条目(重要吗?)Branch-PC01
执行后nslookup domain.com
,结果返回了主DCs
站点Office
(192.168.1
子网)的 IP 地址
现在我觉得这不对 - 它不应该返回吗192.168.100.1
?还是我误解了整个概念 - 登录应该如何更快?
我是否需要一个单独的 DNS 区域(如果没有子域名(除非需要,否则我不想创建子域名)它将如何工作)?
任何可以向我指出的想法/文章都将非常有用;我已经阅读了大量 TechNet 文章,但仍然一无所知。
谢谢
更新
非常感谢@TheCleaner 和@charleswj81,感谢你们的努力。
我刚刚尝试了 nltest,分支 DC 和客户端 PC 的结果相同:
U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
DC: \\Branch-DC01.domain.com
Address: \\192.168.100.1
Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
Dom Name: domain.com
Forest Name: domain.com
Dc Site Name: TestSite
Our Site Name: TestSite
Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully
更新 2
- 清理 DNS 条目,因此任何带有 TestSite 的 _sites 容器都只有 SRV 记录,
Branch-DC01
而客户端重新启动后对此没有帮助。 客户端上的 nltest:
`U:>nltest /dsgetdc:domain.com
DC: \\DC01.domain.com Address: \\192.168.1.3 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb Dom Name: domain.com
林名称:domain.com
Dc 站点名称:Office
我们的网站名称:TestSite
Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
DNS_FOREST 完整机密 WS
命令已成功完成`
答案1
一个站点的客户端接收域到另一个站点的 DC 的 DNS 解析是完全正常的。这是因为域正向查找区域的所有“(与父级相同)”A 记录。每个 DC 都将针对域循环列出。
它不是最理想的 DNS 解析效率(如果某些站点不可用,可能会导致问题),但您可以设置诸如地理标记 DNS 之类的东西来缓解它,这是完全正常的行为。一旦客户端获得 DC(任何 DC)以做出响应,该 DC 将利用站点和区域配置来获取其适当区域中的 DC,并通知客户端将进一步的请求定向到该 DC。一旦客户端登录,它就会缓存其站点并主要利用 %LOGONSERVER% 进行未来的交易。
答案2
DNS 不保证返回最接近您的 IP(除非您启用了根据请求者的 IP 返回不同结果的功能)。它是循环的。此外,结果可能在分支 DC 启动并运行之前缓存。
此外,在选择 DC 进行身份验证时,Windows 不依赖 DNS A 记录。它有一个称为 DC 定位器的进程,可以自动为您选择昂贵的租赁 DC。
不要从 DHCP 获取 DC 的 IP。它需要静态 IP。