准备工作(不影响任何客户)

准备工作(不影响任何客户)

我有一个包含两个域控制器和集成 DNS 的 AD 域。由于我们要将 Infoblox 用作主 DNS,因此我们的想法是将现有区域迁移到 Infoblox,并使控制器能够对 AD 区域执行动态 DNS 更新。安全执行此操作的最佳方案是什么?

答案1

首先,我相信 Infoblox 专业服务会很乐意帮助您完成此过程(尽管您可能愿意或不愿意支付费用)。

无论如何,这是我过去成功使用过的高级大纲。(注意:您没有提到您的网格拓扑是什么样的,所以我只是假设您至少有几个专用的网格成员将托管 AD 区域。在下面的概述中,假设我仅指那些特定的网格成员,而不是网格中的所有成员。)

准备工作(不影响任何客户)

  1. 如果尚未启用 DNS 服务,请在将要托管您的区域的网格成员上启用它。
  2. 创建一个TSIG负责 AD 中每个网格成员及相关的 keytab 文件。
  3. 将密钥表导入网格并将其分配给关联的网格成员。
  4. 在每个成员的 DNS 属性上启用 GSS-TSIG 更新(GSS-TSIG高级选项卡,而不是Updates选项卡)。
  5. 为您的 AD 区域创建适当的名称服务器组。
    • 如果您希望它们像 DC 一样工作,每个 DC 都以自己作为区域的主名称服务器进行响应,请将每个名称服务器设为网格主服务器。否则,标准网格主服务器和一个或多个辅助服务器也可以。
  6. 如果您的 AD DC 是客户端的递归解析器,请确保已在 DNS 视图或成员级别启用递归。
  7. 配置 DC 以允许区域传输到网格成员。
  8. (可选)如果您有将客户端指向 DC 进行 DNS 的 DHCP 服务器,请缩短租用时间,以便您稍后进行更改时可以更快地应用这些更改。

主 DNS 切换

  1. 对于每个区域(不要忘记你的反向区域):
    • 创建一个空的权威区域并将其分配给名称服务器组。
    • 如果合适,请在区域属性中启用Allow GSS-TSIG signed updates。如果 GSS-TSIG 正在运行,则不需要任何基于 IP 的 ACL。
    • 如果合适,请在区域属性中启用Automatically create underscore zonesAllow GSS-TSIG-signed updates to underscore zones。您不需要允许来自任何 DC 的未签名更新。
    • 选择区域后,单击Import Zone工具栏上的 ,从其中一个 DC 执行一次性区域传输。我通常不启用任何选项来自动转换/创建关联记录。
    • 使用 dig 或 nslookup 验证您现在可以解析刚刚针对网格成员导入的内容。特别是如果您使用多个网格主节点,请确保查询每个成员的 SOA 都会返回其自身作为主节点。
    • 您可能会在 GUI 中注意到,导入的大多数记录都是“静态”而非“动态”。随着事物随时间动态重新注册,这种情况会发生变化。
  2. 配置 DC 以使用网格成员作为转发器。当区域最终从 DC 中删除时,这将允许任何使用 DC 进行 DNS 的人仍然可以正确解决问题。
  3. 更新 DC 上的 TCP/IP 属性中的 DNS 配置以指向适当的网格成员。
    • ipconfig /registerdns重新注册 DC 的 A/PTR 记录
    • 重新启动 netlogon 服务以使 AD 重新注册所有与域相关的 SRV 记录。
    • 检查 DC 事件日志中是否存在注册错误
    • 您还可以检查 Infoblox 系统日志。如果您看到错误,请不要惊慌。Windows 始终在使用 GSS-TSIG 重试之前尝试未签名的更新。因此日志将显示更新失败,然后显示更新成功。
    • dcdiag /test:dns也是你的朋友。
    • 另一个积极的迹象是看到 Infoblox GUI 中的 DC 相关记录从“静态​​”转换为“动态”

此时,回滚仍然相当容易。唯一被重新指向的是 DC。但只要 DC 可以动态注册其记录并且您可以成功针对网格成员运行查询,您就可以继续。

  1. 如果您有 DHCP 服务器将客户端指向 DC 以获取 DNS,请更新它们以指向适当的网格成员。如果您的租约时间相当短,您很快就会看到一些客户端记录开始从“静态”变为“动态”。

在此刻,我们已经到了无可挽回的地步我们将开始从 DC 中删除区域。(恢复区域显然并非不可能。但它足够烦人,以至于您不想被迫在维护窗口中执行此操作。)如果您正确配置了转发,则在区域删除后,任何仍指向 DNS 的 DC 的人仍应能正确解决问题。但是,在区域消失之前,您无法真正确定,因为只要区域仍然存在,DC 就会返回其自己的副本。

  1. 对于每个区域(不要忘记你的反向区域,并且可能首先优先考虑不太重要或非 AD 特定的区域):

    • 从 AD 中删除区域并等待更改复制
    • 清除 DC 上的 DNS 缓存,并可能重新启动 DNS 服务以获得更好的效果。
    • 针对 DC 测试区域的 SOA 查询。它应该返回您在 Infoblox 中看到的该区域的相同序列。如果是旧的,DC 可能仍在返回其自己的旧缓存副本。如果您获得缓存结果,请尝试再次清除 DNS 服务缓存。ipconfig /flushdns在 DC 和您的客户端上尝试。

完成后,DC 应该不再有区域,并且有效地缓存服务器。剩下的就是找到具有静态 DNS 配置的剩余主机并将它们重新指向网格成员。

一旦您确定没有其他客户端尝试使用 DC 进行 DNS,您就可以停止并删除它们的 DNS 角色。

相关内容