Cấu hình DNS và Active Directory cho một văn phòng chi nhánh

8

Hiện tại chúng tôi có một văn phòng chi nhánh không có dịch vụ tại chỗ và chúng tôi muốn thay đổi điều đó. Mục tiêu lớn nhất là thiết lập một số máy chủ tệp nhưng đăng nhập nhanh hơn và độ phân giải DNS cũng sẽ được chào đón.

Tôi đang thực hiện một số thử nghiệm với một số máy ảo trên mạng con / Vlan riêng biệt, vì vậy giả sử tôi có rừng và miền domain.com:

  1. Có một trang web Officevới một mạng con 192.168.1/24và một vùng DNS chính duy nhấtdomain.com
  2. Đã thêm một trang web thứ cấp TestSitevới một mạng con192.168.100/24
  3. Tạo 192.168.100vùng tra cứu ngược trong DNS
  4. Tạo VM Branch-DC01chạy Server 2012, với địa chỉ IP192.168.100.1
  5. Đã thêm vào domain.comlàm thành viên
  6. Được cài đặt AD DSlàm Bộ điều khiển miền chỉ đọc (RODC) trongTestSite
  7. Các chính DNSmáy chủ cho Branch-DC01.domain.com127.0.0.1
  8. Thiết lập phạm vi DHCP cho máy chủ mới và được định cấu hình cho DHCP để luôn cập nhật DNS
  9. Tạo Branch-PC01VM chạy Windows 8 và thêm vàodomain.com
  10. Branch-PC01có địa chỉ IP 192.168.100.20từ DHCP, máy chủ DNS 192.168.100.1, mục nhập cho thành viên trong khu vực tra cứu chuyển tiếp domain.comnhưng không có trong khu vực tra cứu ngược (đáng kể?)
  11. Khi Branch-PC01thực hiện nslookup domain.com- kết quả đã trở lại với địa chỉ IP của chính DCstừ Officetrang web ( 192.168.1mạng con)

Bây giờ điều này không đúng trong tâm trí của tôi - nó có nên trở lại 192.168.100.1không? Hay tôi đang hiểu nhầm toàn bộ khái niệm - và làm thế nào để đăng nhập được nhanh hơn?

Tôi có cần một vùng DNS riêng không (làm thế nào nó hoạt động mà không có tên miền phụ mà tôi không muốn tạo, trừ khi được yêu cầu)?

Bất kỳ ý tưởng / bài viết mà tôi có thể được chỉ ra sẽ là tuyệt vời; Tôi đã đọc qua một loạt các bài báo của TechNet và không ai là người khôn ngoan hơn.

Cảm ơn

Cập nhật

Rất cám ơn @TheCleaner và @ charleswj81 những nỗ lực của bạn được đánh giá cao.

Tôi vừa mới thử nltest và kết quả là giống nhau từ chi nhánh DC và PC khách:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Cập nhật 2

  1. Các mục nhập DNS đã được làm sạch để mọi thùng chứa _sites có TestSite chỉ có các bản ghi SRV Branch-DC01mà sau khi khởi động lại máy khách không có ích.

  2. nltest trên máy khách:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com

    Tên rừng: domain.com

    Tên trang web của Dc: Văn phòng

    Tên trang web của chúng tôi: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN

    DNS_FOREST FULL_SECRET WS

    Lệnh đã hoàn thành thành công`

domain-name-system  active-directory  windows-server-2012  windows 
giả
nguồn
Trước tiên, hãy kiểm tra trên PC chi nhánh và xem DC nào thực sự xác thực bạn. Từ một dòng cmd chạy : echo %LOGONSERVER%. Khi bạn nói trang web, tôi giả sử bạn có nghĩa là ADS & S và bạn có các trang web riêng ở đó cho chi nhánh của mình không?
TheCleaner
@TheCleaner echo %LOGONSERVER%đã trở lại với tên máy chủ của một trong những DC chính từ trang chính, vâng tôi có một Trang web riêng với mạng con được chỉ định và bên dưới TestSite-> ServersTôi có thể xem DC thử nghiệm là mục duy nhất
hyp 22/11/13
Bạn đã thử nó nhiều lần chưa? Tôi hỏi bởi vì với RODC, nó sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache, vì vậy nếu đây là lần duy nhất / lần đầu tiên nó chuyển tiếp yêu cầu xác thực đến một DC bình thường. Oh và các DC khác, họ ít nhất là 2008?
TheCleaner
Tôi vừa khởi động lại PC khách và đăng xuất / đăng nhập lại, mỗi khi% LOGONSERVER% là một trong những DC văn phòng chính. Nhìn vào DNS, có vẻ như các bản ghi NS đã được tạo cho tất cả các DC (chi nhánh + văn phòng) cho vùng tra cứu ngược chi nhánh - nếu đó là bất kỳ trợ giúp nào? Cố gắng xóa tất cả nhưng chi nhánh DC từ múi nhưng họ chỉ được tạo một lần nữa ...
hyp
@TheCleaner quên trả lời về phiên bản - các DC chính là 2x Server 2008 R2 + 1x Server 2012
hyp 22/11/13

Câu trả lời:

0

Việc khách hàng tại một trang web nhận được độ phân giải DNS cho miền tới DC tại một trang web khác là điều hoàn toàn bình thường. Điều này là do tất cả "(giống như cha mẹ)" Một bản ghi cho vùng tra cứu chuyển tiếp tên miền. Mỗi DC sẽ được liệt kê vòng tròn cho tên miền.

Đây không phải là lý tưởng nhất cho hiệu quả phân giải DNS (và có thể gây ra sự cố nếu một số trang web không khả dụng) nhưng bạn có thể thiết lập những thứ như DNS được gắn thẻ địa lý để giảm thiểu nó và đó là hành vi hoàn toàn bình thường. Khi khách hàng nhận được DC, bất kỳ DC nào, để phản hồi, DC đó sẽ sử dụng cấu hình Trang web và Vùng để tìm nạp DC trong vùng thích hợp của nó và thông báo cho khách hàng để yêu cầu thêm đối với DC đó. Khi khách hàng đăng nhập, nó lưu trữ trang web của mình và chủ yếu sử dụng% LOGONSERVER% cho các giao dịch trong tương lai.

duct_tape_coder
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.