it-swarm.com.de

In welcher Beziehung steht DNS zu Active Directory und welche allgemeinen Konfigurationen sollten mir bekannt sein?

Bitte beachten Sie, dass ich die Antwort darauf kenne und unten eine angegeben habe. Ich sehe viele neuere Systemadministratoren, die den Inhalt meiner Antwort nicht verstehen. Daher hoffe ich, dass alle AD DNS-Fragen für Anfänger als Duplikat davon geschlossen werden. Wenn Sie eine geringfügige Verbesserung haben, können Sie meine Antwort jederzeit bearbeiten. Wenn Sie eine umfassendere vollständige Antwort geben können, können Sie eine hinterlassen.

In welcher Beziehung steht DNS zu Active Directory und welche allgemeinen Konfigurationen sollten mir bekannt sein?

24
MDMarra

Active Directory basiert auf einer ordnungsgemäß konfigurierten und funktionsfähigen DNS-Infrastruktur . Wenn Sie ein Active Directory-Problem haben, besteht möglicherweise ein DNS-Problem. Das erste, was Sie überprüfen sollten, ist DNS. Das zweite, was Sie überprüfen sollten, ist DNS. Das dritte, was Sie überprüfen sollten, ist DNS.

Was genau ist DNS?

Dies ist eine Seite für Profis, also gehe ich davon aus, dass Sie zumindest den ausgezeichneten Wikipedia-Artikel gelesen haben. Kurz gesagt, DNS ermöglicht das Auffinden von IP-Adressen, indem ein Gerät nach Namen gesucht wird. Es ist wichtig, dass das Internet so funktioniert, wie wir es kennen, und es läuft auf allen bis auf das kleinste LAN.

DNS ist auf der grundlegendsten Ebene in drei grundlegende Teile unterteilt:

  • DNS-Server: Dies sind die Server, auf denen Einträge für alle Clients gespeichert sind, für die sie verantwortlich sind. In Active Directory führen Sie die DNS-Serverrolle auf einem oder mehreren Domänencontrollern aus.

  • Zonen: Kopien von Zonen werden von Servern gehalten. Wenn Sie eine AD mit dem Namen ad.example.com Haben, befindet sich auf Ihren Domänencontrollern eine Zone mit installiertem DNS mit dem Namen ad.example.com. Wenn Sie einen Computer mit dem Namen computer haben und dieser bei diesem DNS-Server registriert wurde, wird in ad.example.com Ein DNS-Eintrag mit dem Namen computer erstellt, und Sie können diesen Computer erreichen über den vollqualifizierten Domainnamen (FQDN), der computer.ad.example.com wäre.

  • Aufzeichnungen: Wie oben erwähnt, enthalten Zonen Aufzeichnungen. Ein Datensatz ordnet einen Computer oder Ressourcen einer bestimmten IP-Adresse zu. Die häufigste Art von Datensatz ist ein A-Datensatz, der einen Hostnamen und eine IP-Adresse enthält. Die zweithäufigsten sind CNAME-Datensätze. Ein CNAME enthält einen Hostnamen und einen anderen Hostnamen. Wenn Sie Hostname1 nachschlagen, wird eine weitere Suche durchgeführt und die Adresse für Hostname2 zurückgegeben. Dies ist nützlich, um Ressourcen wie einen Webserver oder eine Dateifreigabe zu verschleiern. Wenn Sie einen CNAME für intranet.ad.example.com Haben und sich der Server dahinter ändert, kann jeder weiterhin den ihm bekannten Namen verwenden und Sie müssen nur den CNAME-Datensatz aktualisieren, um auf den neuen Server zu verweisen. Nützlich, oder?

Ok, wie hängt das mit Active Directory zusammen?

Wenn Sie Active Directory und die DNS-Serverrolle auf Ihrem ersten Domänencontroller in der Domäne installieren, werden automatisch zwei Forward-Lookupzonen für Ihre Domäne erstellt. Wenn Ihre AD-Domain wie im obigen Beispiel ad.example.com Ist ( beachten Sie, dass Sie nicht nur "example.com" Als Domainnamen für Active Directory verwenden sollten ), werden Sie ' Ich werde eine Zone für ad.example.com und _msdcs.ad.example.com haben.

Was machen diese Zonen? GROSSE FRAGE! Beginnen wir mit der Zone _msdcs. Es enthält alle Datensätze, die Ihre Clientcomputer benötigen, um Domänencontroller zu finden. Es enthält Datensätze zum Auffinden von AD-Sites. Es enthält Aufzeichnungen für die verschiedenen FSMO-Rolleninhaber. Es enthält sogar Datensätze für Ihre KMS-Server, wenn Sie diesen optionalen Dienst ausführen. Wenn diese Zone nicht vorhanden wäre, könnten Sie sich nicht an Ihren Arbeitsstationen oder Servern anmelden.

Was hält die Zone ad.example.com? Es enthält alle Datensätze für Ihre Clientcomputer, Mitgliedsserver und die A-Datensätze für Ihre Domänencontroller. Warum ist das Zone wichtig? Damit Ihre Workstations und Server im Netzwerk miteinander kommunizieren können. Wenn diese Zone nicht vorhanden wäre, könnten Sie sich wahrscheinlich anmelden, aber Sie könnten nur im Internet surfen.

Wie erhalte ich Aufzeichnungen in diesen Zonen?

Zum Glück für Sie ist das einfach. Wenn Sie die DNS-Servereinstellungen während dcpromo installieren und konfigurieren, sollten Sie Secure Updates Only Zulassen, wenn Sie die Wahl haben. Dies bedeutet, dass nur bekannte PCs mit Domänenbeitritt ihre Datensätze erstellen/aktualisieren können.

Lassen Sie uns für eine Sekunde zurück. Es gibt verschiedene Möglichkeiten, wie eine Zone Datensätze darin abrufen kann:

  1. Sie werden automatisch von Arbeitsstationen hinzugefügt, die für die Verwendung des DNS-Servers konfiguriert sind. Dies ist die häufigste und sollte in den meisten Szenarien zusammen mit "Nur sichere Updates" verwendet werden. Es gibt einige Edge-Fälle, in denen Sie diesen Weg nicht gehen möchten. Wenn Sie jedoch das Wissen in dieser Antwort benötigen, möchten Sie dies auf diese Weise tun. Standardmäßig aktualisiert eine Windows-Workstation oder ein Windows-Server alle 24 Stunden ihre eigenen Datensätze oder wenn einem Netzwerkadapter eine IP-Adresse zugewiesen wird , entweder über DHCP oder statisch.

  2. Sie erstellen den Datensatz manuell. Dies kann vorkommen, wenn Sie einen CNAME oder einen anderen Datensatztyp erstellen müssen oder wenn Sie einen A-Datensatz wünschen, der sich nicht auf einem vertrauenswürdigen AD-Computer befindet, z. B. einen Linux- oder OS X-Server, den Ihre Clients auflösen können namentlich.

  3. Sie lassen DHCP DNS aktualisieren, wenn Leases ausgegeben werden. Dazu konfigurieren Sie DHCP so, dass die Datensätze im Namen der Clients aktualisiert und der DHCP-Server zur DNSUpdateProxy AD-Gruppe hinzugefügt wird. Dies ist keine wirklich gute Idee, da es Sie für Zonenvergiftungen öffnet. Eine Zonenvergiftung (oder DNS-Vergiftung) tritt auf, wenn ein Clientcomputer eine Zone mit einem böswilligen Datensatz aktualisiert und versucht, sich als ein anderer Computer in Ihrem Netzwerk auszugeben. Es gibt Möglichkeiten, dies zu sichern, und es hat seine Verwendung, aber Sie sollten es besser in Ruhe lassen, wenn Sie es nicht wissen.

Jetzt, da wir das aus dem Weg haben, können wir wieder auf Kurs kommen. Sie haben Ihre AD-DNS-Server so konfiguriert, dass nur sichere Updates zulässig sind, Ihre Infrastruktur tuckert und Sie stellen fest, dass Sie eine Menge doppelter Einträge haben! Was machst du dagegen?

DNS-Scavenging

Dieser Artikel muss gelesen werden . Es enthält Einzelheiten zu den Best Practices und Einstellungen, die Sie für das Aufräumen konfigurieren müssen. Es ist für Windows Server 2003, aber es ist immer noch anwendbar. Lies es.

Das Aufräumen ist die Antwort auf das oben gestellte Problem mit doppelten Datensätzen. Stellen Sie sich vor, Sie haben einen Computer mit einer IP von 192.168.1.100. Es wird ein A-Datensatz für diese Adresse registriert. Stellen Sie sich dann vor, es wäre über einen längeren Zeitraum ausgeschaltet worden. Wenn es wieder eingeschaltet ist, wird diese Adresse von einem anderen Computer übernommen, sodass es 192.168.1.120 Erhält. Jetzt gibt es A-Datensätze für beide.

Wenn Sie Ihre Zonen aufräumen, ist dies kein Problem. Veraltete Datensätze werden nach einem bestimmten Intervall entfernt und es wird Ihnen gut gehen. Stellen Sie nur sicher, dass Sie alles nicht versehentlich aufräumen, wie in einem Intervall von 1 Tag. Denken Sie daran, AD stützt sich auf diese Datensätze. Konfigurieren Sie das Aufräumen auf jeden Fall, aber tun Sie dies verantwortungsbewusst, wie im obigen Artikel beschrieben.

Jetzt haben Sie ein grundlegendes Verständnis von DNS und dessen Integration in Active Directory. Ich werde später noch einige Dinge hinzufügen, aber Sie können auch Ihre eigene Arbeit hinzufügen.

32
MDMarra