Configuration DNS et Active Directory pour une succursale

8

Nous avons une succursale sans service sur place pour le moment, et nous aimerions changer cela. Le plus grand objectif est de configurer certains serveurs de fichiers, mais des connexions plus rapides et une résolution DNS seront également les bienvenues.

Je fais des expériences avec des machines virtuelles sur un sous-réseau / VLAN séparé, alors disons que j'ai une forêt et un domaine domain.com:

  1. Il existe un seul site Officeavec un sous 192.168.1/24- réseau et une seule zone DNS principaledomain.com
  2. Ajout d'un site secondaire TestSiteavec un sous-réseau192.168.100/24
  3. Création d' 192.168.100une zone de recherche inversée dans DNS
  4. Création d'une machine virtuelle Branch-DC01exécutant Server 2012, avec adresse IP192.168.100.1
  5. Ajouté à en domain.comtant que membre
  6. Installé en AD DStant que contrôleur de domaine en lecture seule (RODC) dansTestSite
  7. Le DNSserveur principal de Branch-DC01.domain.comest127.0.0.1
  8. Configurer la portée DHCP pour le nouveau serveur et configuré pour que DHCP mette toujours à jour DNS
  9. Branch-PC01VM créée sous Windows 8 et ajoutée àdomain.com
  10. Branch-PC01obtenu l'adresse IP 192.168.100.20de DHCP, serveur DNS 192.168.100.1, entrée pour le membre dans la zone de recherche directe domain.comprésente mais pas dans la zone de recherche inverse (significatif?)
  11. Sur Branch-PC01exécuté nslookup domain.com- le résultat est revenu avec les adresses IP du principal DCsdu Officesite ( 192.168.1sous-réseau)

Maintenant, cela ne me vient pas à l'esprit - cela ne devrait-il pas revenir 192.168.100.1? Ou est-ce que je comprends mal tout le concept - et comment les connexions sont-elles censées être plus rapides?

Ai-je besoin d'une zone DNS distincte (comment cela fonctionnerait-il sans un sous-domaine que je ne veux pas créer, sauf si requis)?

Toutes les idées / articles sur lesquels je peux être pointé seraient formidables; J'ai lu un tas d'articles TechNet et je n'en suis pas plus sage.

Merci

Mise à jour

Merci beaucoup à @TheCleaner et @ charleswj81 que vos efforts sont appréciés.

Je viens d'essayer nltest et le résultat est le même depuis la branche DC et le PC client:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Update 2

  1. Entrées DNS nettoyées afin que tous les conteneurs _sites avec TestSite ne contiennent que des enregistrements SRV pour Branch-DC01lesquels, après le redémarrage du client, cela n'a pas aidé.

  2. nltest sur le client:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com

    Nom de la forêt: domain.com

    Nom du site Dc: Bureau

    Nom de notre site: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN

    DNS_FOREST FULL_SECRET WS

    La commande s'est terminée avec succès`

domain-name-system active-directory windows-server-2012 windows hyp
la source
Tout d'abord, vérifiez sur le PC de la branche et voyez quel DC vous a réellement authentifié. A partir d' une course de ligne cmd: echo %LOGONSERVER%. Lorsque vous dites site, je suppose que vous voulez dire ADS & S et que vous avez des sites distincts pour votre succursale?
TheCleaner
@TheCleaner echo %LOGONSERVER%est revenu avec un nom d'hôte de l'un des principaux contrôleurs de domaine du site principal, oui, j'ai un site distinct avec un sous-réseau spécifié et sous TestSite-> ServersJe peux voir le test DC comme la seule entrée
hyp
L'avez-vous testé plus d'une fois? Je demande parce qu'avec un RODC, il utilise des informations de connexion en cache, donc si c'est la seule / première fois, il transmet la demande d'authentification à un DC normal. Oh et les autres DC, sont-ils au moins 2008?
TheCleaner
Je viens de redémarrer le PC client et de me déconnecter / reconnecter, chaque fois que% LOGONSERVER% est l'un des contrôleurs principaux du bureau principal. En regardant DNS, il semble que les enregistrements NS ont été générés pour tous les contrôleurs de domaine (succursale + bureau) pour la zone de recherche inversée de la succursale - si cela peut vous être utile? J'ai essayé de supprimer tout sauf la branche DC de cette zone, mais ils sont à nouveau générés ...
hyp
@TheCleaner a oublié de répondre au sujet de la version - les principaux contrôleurs de domaine sont 2x Server 2008 R2 + 1x Server 2012
hyp

Réponses:

0

Il est parfaitement normal qu'un client d'un site reçoive une résolution DNS pour le domaine vers un contrôleur de domaine sur un autre site. Cela est dû à tous les enregistrements "(identique au parent)" A pour la zone de recherche directe de domaine. Chaque contrôleur de domaine va être répertorié round robin pour le domaine.

Ce n'est pas le plus idéal pour l'efficacité de la résolution DNS (et peut causer des problèmes si certains sites ne sont pas disponibles), mais vous pouvez configurer des choses comme le DNS géomarqué pour l'atténuer et c'est un comportement parfaitement normal. Une fois que le client obtient un contrôleur de domaine, n'importe quel contrôleur de domaine, pour répondre, ce contrôleur de domaine utilisera la configuration des sites et des zones pour récupérer un contrôleur de domaine dans sa zone appropriée et informera le client de diriger d'autres demandes contre ce contrôleur de domaine. Une fois qu'un client se connecte, il met en cache son site et utilise principalement le% LOGONSERVER% pour les transactions futures.

duct_tape_coder
la source