Полное раскрытие информации: я не специалист по AD, так что это может относиться к чему-то очевидному. Заранее извиняюсь, если это так — я пытался найти предыдущие вопросы по этому поводу.
Я устанавливаю сервер веб-приложений на базе Linux в среде AD (ванильный CentOS 5.x — без специальной интеграции с AD). Приложение выполняет запросы LDAPS к серверам глобального каталога. Чтобы узнать, с каким сервером AD следует взаимодействовать, оно выполняет DNS-поиск записей A, относящихся к домену AD (foo.int). Этот конкретный запрос, похоже, не выполняется (я все еще изучаю его).
Тем временем я хотел бы подтвердить несколько вещей:
- Если я указываю серверу Linux на DNS-серверы Microsoft и запрашиваю домен AD (foot.in), разумно ли предположить, что я должен получить записи A, указывающие на некоторые GC?
- Является ли доступность записей A для GC чем-то стандартным? Или это то, что варьируется от среды к среде? Другими словами, есть ли среды, в которых вообще нет внутренних записей A, опубликованных для DC?
- Являются ли эти конкретные записи автоматически управляемыми/обновляемыми или они вручную добавляются/редактируются администраторами?
решение1
Если я указываю серверу Linux на DNS-серверы Microsoft и запрашиваю домен AD (foot.in), разумно ли предположить, что я должен получить записи A, указывающие на некоторые GC?
Нет, ты получишь всеКонтроллеры домена в домене не обязательно только серверы глобального каталога. Если вам нужны только серверы глобального каталога, вы можете запросить _gc._tcp.<your_AD_FQDN>или вы можете запросить, _gc.<your_site_name>._sites.<your_AD_FQDN>если вам нужны только GC на определенном сайте. Это на самом деле запись типа SRV.
Является ли доступность записей A для GC чем-то стандартным? Или это то, что варьируется от среды к среде? Другими словами, есть ли среды, в которых вообще нет внутренних записей A, опубликованных для DC?
Все контроллеры домена будут иметь запись A, она должна быть зарегистрирована автоматически. Но возможно, что если автоматическая регистрация DNS отключена для сетевого адаптера, то записи A не будет, если кто-то не сделал этого вручную. AD будет сломан, если эта штука отключена.
Являются ли эти конкретные записи автоматически управляемыми/обновляемыми или они вручную добавляются/редактируются администраторами?
Зоны _sites, _msdcs, _tcp, и _udpуправляются автоматически. Записи A тоже должны управляться, если только кто-то не сделал что-то глупое с конфигурацией, чтобы отключить эту штуку.