我有一个小型办公网络,其中有路由器(运行 OpenWRT)、Windows 域控制器(以前是 2008R2;我刚刚备份并升级到 2012)、大约十几个 AD 客户端(3 台服务器和 Windows 工作站)和几个非 AD 客户端(网络打印机、PBX)。
问题是客户端无法通过名称访问服务器(只能通过 IP)。我尝试了各种排列。目前,域控制器为所有桌面运行 DNS 服务器;但除非我在 hosts 文件中输入条目 - 我只能通过 IP 获取。我有路由器作为 DHCP 服务器(因为并非所有设备都在 AD 上);除域控制器外,所有 IP 地址(包括“静态”)均由路由器分配。
最令人沮丧的是,有些服务器有时可以正常工作!例如,我经常可以通过名称访问 Linux 机器(它是使用 Beyond Trust Integration Services 的域的一部分);但我永远无法访问 SQL Server 机器。似乎非域设备看到的名称比域成员还多……
这个网络应该相当典型;但我找不到任何关于如何设置 DNS/DHCP 服务以使所有节点都正常运行的指导。最接近的是这个问题,但还是不一样!
谢谢
答案1
我对你的一些术语有点困惑:
“除域控制器之外,所有 IP 地址(包括“静态”)均由路由器分配。“——呃……不。如果路由器正在分配地址,那么它们不是静止的。
“我有路由器作为 DHCP 服务器(因为并非所有设备都在 AD 上)“——不确定你为什么这样做。设备不需要成为 Active Directory 域的成员即可使用 Windows 服务器提供的 DHCP 服务。
至于“如何设置 DNS/DHCP 服务以使所有节点都满意”,应该非常简单。
- Windows 服务器(可能是小型网络上的域控制器)应该提供 DHCP。
- 域控制器(理想情况下您应该有多个?)应该安装并配置 DNS 角色以支持 AD,并且 DNS 应该将其无法解析的任何请求转发到 ISP 的 DNS 服务器。
- 客户端应将其 DNS 设置配置为指向 DNS 服务器,并且其网关应指向路由器。
- 每个 Windows 系统(服务器或客户端)上的本地防火墙都应该被禁用,或者更理想的情况下,应该正确配置,以将整个内部 IP 地址方案视为工作网络,并具有适当配置的域配置文件。
答案2
这是一个相当容易解决的问题。禁用路由器上的 DHCP 服务或启用将 DHCP 调用转发到 AD 服务器的选项。为了使名称查找工作,您确实需要启用两个方面。这是假设您已经在 AD 中启用了 DNS 服务器(这是 AD 功能所必需的),并且它已正确设置了所有 DNS 转发,以便进行 AD 之外的 DNS 查询。
首先,您需要让所有请求 DHCP 地址的工作站从属于 AD 的 DHCP 服务器获取地址请求。在 AD 中注册的 DHCP 服务器必须首先获得信任/授权,然后启用选项以在注册 DHCP 租约时动态更新 DNS 服务器。这将允许 DNS 服务器动态更新 DNS 中您域的 A 记录。您可能还想启用反向注册,因为这也会更新 PRT 记录。请确保您在设置中也将域后缀附加到主机名。
第二步很简单。然后,您必须使用 AD DNS 服务器进行所有 DNS 查询。至少它必须是您的第一个名称服务器。从技术上讲,您可以拥有任意数量的服务器。但是,AD DNS 服务器必须是第一个。如果您需要,我认为您的 ISP DNS 服务器可以是第二个条目。
通过执行此操作,您可以让您的工作站仅使用 NetBIOS 地址或 FQDN 来查找本地域主机,因为您正在使用的 DNS 服务器正在动态注册其他工作站、打印机和其他 AD 资产,因为它们声明了 DHCP 租约。动态注册至关重要,因为当 DHCP 租约到期并发出新租约时,可能会更改工作站的 IP 地址,新信息将更新到 AD DNS 条目中。
祝你好运。
答案3
我喜欢在无线路由器中为无线客户端主机设置 DHCP。我将运行两个范围,每个范围都属于 LAN 子网,并且每个范围都有自己的 VLAN,一个用于私有无线网络,另一个用于访客无线网络。然后,在路由器中,我将私有无线网络路由到 LAN 子网,并拒绝访客无线网络进入 LAN 子网,让访客无线用户只能访问互联网,而不能访问 LAN/域资源。这样,无线网络就位于网络的不同部分,让我能够更好地控制流量,以实现安全性、优先级、报告等。我始终在 LAN 的主域控制器上的 Windows 域上运行 DHCP,并自动注册 DNS,如上所述。
这样一来,私有无线网络上的无线主机就不会在域 DNS 中注册,但通常 LAN 上的主机不需要使用基于名称的解析来访问 LAN 上的 PC 主机。通常只有服务器资源、打印机或其他需要所有 LAN 用户/主机访问的主机才需要这样做。