Active Directory dựa trên cơ sở hạ tầng DNS chức năng và được cấu hình đúng . Nếu bạn gặp sự cố Active Directory, rất có thể bạn gặp sự cố DNS. Điều đầu tiên bạn nên kiểm tra là DNS. Điều thứ hai bạn nên kiểm tra là DNS. Điều thứ ba bạn nên kiểm tra là DNS.
Chính xác thì DNS là gì?
Đây là một trang dành cho các chuyên gia, vì vậy tôi sẽ cho rằng ít nhất bạn đã đọc bài viết Wikipedia xuất sắc . Nói tóm lại, DNS cho phép tìm thấy địa chỉ IP bằng cách tra cứu thiết bị theo tên. Điều quan trọng đối với Internet là hoạt động như chúng ta biết và nó chạy trên tất cả các mạng LAN nhỏ nhất.
DNS, ở cấp độ cơ bản nhất được chia thành ba phần cơ bản:
Máy chủ DNS: đây là các máy chủ lưu giữ hồ sơ cho tất cả các máy khách mà chúng chịu trách nhiệm. Trong Active Directory, bạn chạy vai trò Máy chủ DNS trên (các) Bộ điều khiển miền.
Khu: Bản sao của các khu vực được tổ chức bởi các máy chủ. Nếu bạn có tên AD ad.example.com, thì có một vùng trên Bộ kiểm soát miền có cài đặt DNS được đặt tên ad.example.com. Nếu bạn có một máy tính có tên computervà nó đã được đăng ký với máy chủ DNS, nó sẽ tạo ra một bản ghi DNS tên computertrong ad.example.comvà bạn sẽ có thể để đạt được máy tính thông qua Fully Qualified Domain Name (FQDN), đó sẽ làcomputer.ad.example.com
Hồ sơ: Như tôi đã đề cập ở trên, các khu vực giữ hồ sơ. Một bản ghi ánh xạ một máy tính hoặc tài nguyên đến một địa chỉ IP cụ thể. Loại bản ghi phổ biến nhất là bản ghi A, chứa tên máy chủ và địa chỉ IP. Phổ biến thứ hai là hồ sơ CNAME. Một CNAME chứa tên máy chủ và tên máy chủ khác. Khi bạn tra cứu hostname1, nó sẽ thực hiện tra cứu khác và trả về địa chỉ cho hostname2. Điều này hữu ích để che khuất các tài nguyên như máy chủ web hoặc chia sẻ tệp. Nếu bạn có CNAME cho intranet.ad.example.comvà máy chủ đằng sau nó thay đổi, mọi người có thể tiếp tục sử dụng tên họ biết và bạn chỉ phải cập nhật bản ghi CNAME để trỏ đến máy chủ mới. Hữu ích hả?
Ok, cái này liên quan đến Active Directory như thế nào?
Khi bạn cài đặt Active Directory và vai trò Máy chủ DNS trên Bộ điều khiển miền đầu tiên trong miền, nó sẽ tự động tạo hai vùng tra cứu chuyển tiếp cho miền của bạn. Nếu miền AD của bạn ad.example.comgiống như trong ví dụ trên ( lưu ý rằng bạn không nên chỉ sử dụng " example.com" làm tên miền cho Active Directory ), bạn sẽ có một vùng cho ad.example.comvà _msdcs.ad.example.com.
Những khu này làm gì? CÂU HỎI TUYỆT VỜI! Hãy bắt đầu với _msdcskhu vực. Nó chứa tất cả các bản ghi mà máy khách của bạn cần để tìm bộ điều khiển miền. Nó bao gồm các hồ sơ để xác định vị trí các trang web AD. Nó có hồ sơ cho những người nắm giữ vai trò FSMO khác nhau. Nó thậm chí còn giữ các bản ghi cho các máy chủ KMS của bạn, nếu bạn chạy dịch vụ tùy chọn này. Nếu vùng này không tồn tại, thì bạn sẽ không thể đăng nhập vào máy trạm hoặc máy chủ của mình.
Các làm những gì ad.example.comgiữ khu vực? Nó chứa tất cả các bản ghi cho máy tính khách của bạn, máy chủ thành viên và bản ghi A cho Bộ kiểm soát miền của bạn. Tại sao khu vực này quan trọng? Vì vậy, các máy trạm và máy chủ của bạn có thể liên lạc với nhau trên mạng. Nếu vùng này không tồn tại, bạn có thể đăng nhập, nhưng bạn sẽ không thể làm gì khác ngoại trừ duyệt Internet.
Làm thế nào để tôi có được hồ sơ trong các khu vực?
Vâng, may mắn cho bạn, đó là dễ dàng. Khi bạn cài đặt và định cấu hình cài đặt máy chủ DNS trong thời gian dcpromo, bạn nên chọn cho phép Secure Updates Onlynếu được lựa chọn. Điều này có nghĩa là chỉ những PC đã tham gia tên miền mới biết có thể tạo / cập nhật hồ sơ của họ.
Hãy sao lưu trong một giây. Có một số cách mà một khu vực có thể nhận được hồ sơ trong đó:
Chúng được tự động thêm bởi các máy trạm được cấu hình để sử dụng máy chủ DNS. Đây là cách phổ biến nhất và nên được sử dụng song song với "Chỉ cập nhật bảo mật" trong hầu hết các tình huống. Có một số trường hợp cạnh mà bạn không muốn đi theo cách này, nhưng nếu bạn cần kiến thức trong câu trả lời này, thì đây là cách bạn muốn làm. Theo mặc định, máy trạm hoặc máy chủ Windows sẽ cập nhật các bản ghi của chính nó cứ sau 24 giờ hoặc khi bộ điều hợp mạng nhận được địa chỉ IP được gán cho nó , thông qua DHCP hoặc tĩnh.
Bạn tự tạo bản ghi. Điều này có thể xảy ra nếu bạn cần tạo CNAME hoặc loại bản ghi khác hoặc nếu bạn muốn bản ghi A không có trên máy tính AD đáng tin cậy, có thể là máy chủ Linux hoặc OS X mà bạn muốn khách hàng của mình có thể giải quyết bằng tên.
Bạn để DHCP cập nhật DNS khi cho thuê. Bạn làm điều này bằng cách cấu hình DHCP để cập nhật các bản ghi thay mặt cho các máy khách và thêm máy chủ DHCP vào nhóm AD DNSUpdateProxy. Đây thực sự không phải là một ý tưởng tốt, bởi vì nó mở ra cho bạn ngộ độc vùng. Nhiễm độc vùng (hoặc ngộ độc DNS) là những gì xảy ra khi máy tính khách cập nhật một vùng có hồ sơ độc hại và cố gắng mạo danh một máy tính khác trên mạng của bạn. Có nhiều cách để bảo đảm điều này và nó cũng có công dụng của nó, nhưng tốt hơn hết là bạn nên để nó một mình nếu bạn không biết.
Vì vậy, bây giờ chúng ta có điều đó theo cách chúng ta có thể quay lại theo dõi. Bạn đã định cấu hình máy chủ DNS AD của mình để chỉ cho phép cập nhật an toàn, cơ sở hạ tầng của bạn đang hoạt động và sau đó bạn nhận ra rằng bạn có rất nhiều bản ghi trùng lặp! Bạn làm gì về điều này?
Quét rác DNS
Bài viết này là cần thiết để đọc . Nó chi tiết các thực tiễn và cài đặt tốt nhất mà bạn sẽ cần định cấu hình để nhặt rác. Nó dành cho Windows Server 2003, nhưng nó vẫn có thể áp dụng được. Đọc nó.
Scavenging là câu trả lời cho vấn đề hồ sơ trùng lặp được đặt ra ở trên. Hãy tưởng tượng rằng bạn có một máy tính có IP là 192.168.1.100. Nó sẽ đăng ký một bản ghi A cho địa chỉ đó. Sau đó, hãy tưởng tượng rằng nó sẽ tắt trong một khoảng thời gian dài. Khi nó hoạt động trở lại, địa chỉ đó được lấy bởi một máy khác, vì vậy nó được 192.168.1.120. Bây giờ có hồ sơ A cho cả hai.
Nếu bạn nhặt rác khu vực của bạn, điều này sẽ không thành vấn đề. Hồ sơ cũ sẽ bị xóa sau một khoảng thời gian nhất định và bạn sẽ ổn. Chỉ cần đảm bảo rằng bạn không nhặt rác mọi thứ một cách tình cờ, như sử dụng khoảng thời gian 1 ngày. Hãy nhớ rằng, AD dựa vào những hồ sơ này. Chắc chắn cấu hình nhặt rác, nhưng làm nó có trách nhiệm, như được nêu trong bài viết trên.
Vì vậy, bây giờ bạn đã có hiểu biết cơ bản về DNS và cách nó được tích hợp với Active Directory. Tôi sẽ thêm bit và mảnh xuống đường, nhưng xin vui lòng thêm công việc của riêng bạn.