Frage.Ich habe eine Windows AD-Domäne, aber ein Teil ist mir ein Rätsel: Wie führt die Windows-Domäne/der DNS-Server Suchvorgänge nach Domänen außerhalb der Windows-Domäne durch?
In einem einfachen Heimnetzwerk ist das DNS-Anforderungsrouting leicht zu verstehen:
Generic Example: Client machine -> (defined DNS or from DHCP) ->
->Router / Gateway -> (usually ISP DNS) -> DNS root servers -> Internet
Specific Example: 192.168.1.101 -> 192.168.1.1 -> 8.8.8.8 -> DNS root servers -> Internet
Im Gegensatz dazu ist der Pfad, den ich derzeit für mein AD-Netzwerk sehe, dieser:
Client Machine -> Windows Domain / DNS -> ??????? -> DNS root servers -> Internet
Wenn ich die Netzwerkeinstellungen auf meinem Domänenserver überprüfe, ist der DNS auf den alternativen DNS-Server (sekundärer Domänenserver), sich selbst und den Loopback eingestellt, sonst nichts.
Mein Internet funktioniert, also ist der Windows-Domänenserver irgendwie intelligent genug, um DNS-Informationen von einem Upstream-Server abzurufen, aber wo und wie wird dies definiert?
Antwort1
Es gibt mehrere Möglichkeiten, wie Ihre DCs einen externen Nameserver abfragen können:
- Wurzelhinweise
- Globale Spediteure
- Explizit definierte Stubzonen, Delegationen oder bedingte Vorwärtszonen
- Einstellungen an der Netzwerkschnittstelle Ihres DC – die Sie überprüft haben.
Ich würde auf Nr. 1 oder Nr. 2 tippen. Ihre Frage bezieht sich nur auf die Überprüfung der Netzwerkeinstellungen – haben Sie den DNS-Manager auf den DCs überprüft?
Wenn alle oben genannten Felder leer sind, geschieht etwas Unbeabsichtigtes und Sie sollten möglicherweise ausgehende DNS-Abfragen mit Wireshark verfolgen.
Antwort2
DNS besteht aus zwei recht unterschiedlichen Teilen. Ein Teil ist für die Veröffentlichung der Daten verantwortlich, der andere Teil ist für die Annahme von DNS-Anfragen von Clients und den Versuch, diese Anfragen durch das Sammeln von Daten zu beantworten. DNS-Server, die die Aufgabe haben, Daten zu veröffentlichen, werden oft als „autoritative“ Server bezeichnet, obwohl dies technisch nicht wirklich die korrekte Bezeichnung ist. Persönlich bevorzuge ich die Bezeichnung „DNS-Inhaltsserver“, aber dieser Begriff ist nicht sehr gebräuchlich. Server, die Anfragen von Clients annehmen und beantworten, werden oft als „Auflösungsserver“ bezeichnet.
Dies ist eigentlich ganz ähnlich der Funktionsweise von HTTP-Servern und HTTP-Proxys: HTTP-Server veröffentlichen die Daten, und HTTP-Proxys akzeptieren Anfragen von Clients (Browsern) und kontaktieren Server, um die vom Client angeforderten Daten abzurufen. Ein Unterschied zwischen Webbrowsern und DNS-Clients besteht darin, dass ein DNS-Client nicht in der Lage ist, selbst Kontakt zu Inhalts-DNS-Servern aufzunehmen. Ein DNS-ClientmussVerwenden Sie einen DNS-Auflösungsserver, während ein Webbrowser problemlos ohne einen HTTP-Proxy funktionieren kann.
Da DNS-Informationen hierarchisch und verteilt gespeichert werden, benötigen Sie zur Beantwortung einer einzelnen Abfrage Informationen von mehreren DNS-Inhaltsservern, die wahrscheinlich auf der ganzen Welt verteilt sind. Wenn ein DNS-Client die Adresse von „www.serverfault.com“ wissen möchte, kann er diese Anfrage einfach an einen DNS-Auflösungsserver senden. Dieser DNS-Auflösungsserver muss dann die eigentliche Arbeit erledigen und DNS-Server auf der ganzen Welt kontaktieren.
Zunächst sendet der auflösende DNS-Server die gesamte Abfrage an einen Stammserver (einen Inhalts-DNS-Server). Dieser Stammserver hat keine vollständige Antwort, aber ertutwissen, welche DNS-Inhaltsserver mehr Informationen über Namen in der „.com“-Domäne haben. Der DNS-Resolver sendet nun die gesamte Abfrage an einen der „.com“-Inhalts-DNS-Server. Dieser Server hat ebenfalls keine vollständige Antwort, weiß aber, welche DNS-Inhaltsserver mehr Informationen über Namen in der servervault.comDomäne haben. Der auflösende DNS-Server fragt weiterhin Inhalts-DNS-Server auf der ganzen Welt ab, bis er eine vollständige Antwort für den Client hat. Natürlich speichert der auflösende DNS-Server dabei Informationen zwischen: Er kontaktiert nicht für jede Abfrage in einer „.com“-Domäne die Stamm-Inhalts-DNS-Server, wenn er aus seinem Cache weiß, wo sich die „.com“-Inhalts-DNS-Server befinden.
Ein „Forwarder“ ist einfach ein auflösender DNS-Server, der Client-Anfragen an einen anderen (vorkonfigurierten) auflösenden DNS-Server sendet, anstatt zu versuchen, sie selbst zu beantworten, indem er DNS-Server auf der ganzen Welt kontaktiert. Heimrouter enthalten häufig einen auflösenden DNS-Server, der so konfiguriert ist, dass er den auflösenden DNS-Server des ISPs als Forwarder verwendet.
Es kann verwirrend sein, wenn die beiden unterschiedlichen Rollen (sowohl Inhaltsbereitstellung als auch Auflösung) in einem DNS-Server zusammenkommen. Dies ist mehr oder weniger das, was mit Active Directory passiert. In Active Directory wird DNS verwendet, um Informationen darüber zu veröffentlichen, wo bestimmte Dienste zu finden sind. Wenn beispielsweise ein Client in der Domäne ad.example.comeinen Kerberos-Kennwortänderungsserver für seine Domäne kontaktieren möchte, sendet er eine DNS-Anforderung für einen SRV-Eintrag namens _kpasswd._tcp.ad.example.com. Diese DNS-Anforderung wird wie jede andere DNS-Anforderung an den im Client konfigurierten auflösenden DNS-Server gesendet. Der auflösende DNS-Server macht sich dann an die Arbeit und versucht, die Anforderung zu beantworten.
Hier kann es etwas verwirrend werden. Der DNS-Auflösungsserver weiß möglicherweise, dass er Teil einer bestimmten Active Directory-Domäne ist, was bedeutet, dass er eingehende Abfragen für Namen in dieser Domäne erkennen kann. Wenn der Resolver eine solche Abfrage erhält, kontaktiert er keine externen DNS-Server, kann aber direkt mit Informationen aus der Active Directory-Datenbank antworten. Wenn eine eingehende Abfrage nicht für einen Namen in der Domäne ist, versucht der Resolver entweder, die Frage selbst zu beantworten, indem er Inhalts-DNS-Server kontaktiert, oder (falls er für die Verwendung eines Forwarders konfiguriert ist) sendet er die Abfrage einfach an einen anderen DNS-Auflösungsserver weiter. Dies ist höchstwahrscheinlich das, was in Ihrem Szenario passiert.
Dynamische Updates können die Sache noch komplizierter machen. In jeder nicht trivialen Domäne sind die Dienste nicht statisch. Domänencontroller können hinzugefügt oder entfernt werden usw. Dasselbe gilt für Arbeitsstationen. Das bedeutet, dass die Informationen im DNS aktualisiert werden müssen, um dies widerzuspiegeln. Dynamische Updates ist ein Protokoll, das es einem Client ermöglicht, die im DNS veröffentlichten Informationen zu ändern. Ein Client sendet eine Abfrage an seinen auflösenden DNS-Server, um herauszufinden, an welchen Inhalts-DNS-Server er die neuen Informationen senden kann. Im Falle einer in Active Directory integrierten DNS-Infrastruktur hat der auflösende DNS-Server möglicherweise selbst Zugriff auf die Datenbank: In diesem Fall teilt der auflösende DNS-Server dem Client mit, dass er die Informationen selbst aktualisieren kann.