Ich habe ein lokales Netzwerk, 10.10.10.1
Das lokale Netzwerk verwendet ein VPN, um eine Verbindung zu einem Cloud-Domänencontroller herzustellen, auf dem DNS unter 172.16.0.1 ausgeführt wird.
Um der Domäne beizutreten und mit ihr zu interagieren, erfordert Windows 10, dass der primäre DNS 172.16.0.1 ist und ich den sekundären DNS als 10.10.10.1 habe
Wir haben eine Failover-Verbindung hinzugefügt und können keine zweite VPN-Verbindung für die Failover-Verbindung hinzufügen. Der DNS wird für Windows-Anmeldungen verwendet und nicht für viel mehr. Das Fehlen eines VPN für die Failover-Verbindung verursacht für die Windows-Computer keine Probleme.
Das Problem liegt bei unseren VoIP-Telefonen und -Druckern. An viele VoIP-Telefone sind Computer über Ethernet angeschlossen, was VLANs etwas kompliziert macht.
Wenn das Failover einsetzt, drehen sich die Telefone und Drucker eine Minute lang, während sie versuchen, eine Verbindung zum DNS-Server unter 172.16.0.1 herzustellen, und funktionieren schließlich wieder, wenn sie den sekundären DNS unter 10.10.10.1 verwenden.
Meines Wissens nach erfordert der Domänencontroller (in diesem Fall Linux) und/oder Windows 10, dass der primäre DNS der Domänencontroller ist.
Gibt es eine Möglichkeit (Gruppenrichtlinie, Registrierungsbearbeitung oder Skript), die Windows zwingt, beim Versuch, den Domänencontroller zu kontaktieren, den sekundären DNS zu verwenden, sodass ich meinen primären DNS für meine gesamte restliche Ausrüstung auf 10.10.10.1 festlegen kann?
Wenn das nicht der Fall ist, gibt es andere Ideen, die funktionieren könnten?
Antwort1
Gibt es eine Möglichkeit (Gruppenrichtlinie, Registrierungsbearbeitung oder Skript), die Windows zwingt, den sekundären DNS zu verwenden, wenn versucht wird, den Domänencontroller zu kontaktieren?
Nein, der sekundäre DNS-Server wird nur als Fallback verwendet, wenn der primäre DNS nicht reagiert – Windows teilt die Nutzung nicht basierend auf der abgefragten Domäne auf. Sie würden höchstens
Meines Wissens nach erfordert der Domänencontroller (in diesem Fall Linux) und/oder Windows 10, dass der primäre DNS der Domänencontroller ist.
Nein, das Clientsystem erfordert lediglich, dass die Active Directory-Domäne (und alle ihre Subdomänen)lösbarvon dem von Ihnen verwendeten DNS-Server, wobei es egal ist, ob es direkt ist oder über 10 DNS-Server geht.
Wenn Sie also eine LAN-Domäne wie haben example.corp
und AD als Subdomäne davon konfiguriert ist, können Sie einen NS-Eintrag hinzufügen, der dorthin verweist – eine Delegation. (Das ist derselbe Mechanismus, mit dem Sie alle Millionen Internetdomänen auflösen können, ohne jeden ihrer Nameserver direkt konfigurieren zu müssen.)
ad.example.corp. NS dc1.ad.example.corp.
dc1.ad.example.corp. A 172.16.0.1
dc1.ad.example.corp. AAAA 2001:db8:e27f::7
Wenn das LAN keine eigene Domäne hat oder es sich um völlig getrennte Zweigstellen handelt, können normale DNS-Delegierungen wahrscheinlich nicht verwendet werden. Ihr LAN-DNS-Server funktioniert jedoch höchstwahrscheinlich wie folgt:
# dnsmasq
server=/ad.example.corp/172.16.0.1
# Unbound
stub-zone:
name: "ad.example.corp"
stub-addr: 172.16.0.1
Alle diese Mechanismen erfordern jedoch, dass der LAN-DNS-Server den AD-Domänencontroller erreichen kann, daher muss eine Art Routing oder VPN zwischen ihnen bestehen.