Как настроить Windows AD для использования внешнего DNS-сервера? У нас есть инструмент для управления DNS. Мы пытаемся использовать Windows AD для аутентификации. Чтобы сервер присоединился к домену, мы должны указать ему сервер AD как DNS. Однако при этом сервер, указанный на сервер AD для DNS, больше не сможет разрешать имена хостов в нашей среде.
Мы используем example.com для нашего домена входа в среду. Все наши серверы — servername.subdomain.example.com.
Когда я присоединяю servername1.subdomain.example.com к домену, он больше не может разрешить servername2.subdomain.example.com, если я вручную не добавлю запись DNS для servername2.subdomain.example.com на сервере AD.
Мы не хотим создавать две записи DNS для каждого случая, поэтому нам нужно, чтобы сервер AD обращался к внешнему DNS-серверу для получения DNS.
Я попытался создать зону-заглушку прямого просмотра для subdomain.example.com, но когда я дошел до «Укажите DNS-серверы, с которых вы хотите загрузить зону» и ввел свой DNS-сервер, при попытке проверки возникла ошибка: «Произошла неизвестная ошибка».
Попытка добавить новое делегирование в мой существующий домен example.com приводит к той же ошибке при добавлении DNS-серверов.
Конечно, я не администратор Windows, и мои познания в AD в лучшем случае поверхностны, но, похоже, то, о чем я прошу, должно быть относительно простым... Я просто ищу рекурсивный поиск по именам хостов из контроллера домена.
Любые указания в правильном направлении будут высоко оценены.
решение1
Однако при этом сервер, который указывает на сервер AD для DNS, больше не может разрешать имена хостов в нашей среде.
Если проблема в этом, почему бы не настроить пересылку в AD на нужный вам DNS-сервер? Откройте оснастку DNS mmc на вашем сервере AD, щелкните правой кнопкой мыши по имени сервера (нетзону или любую из папок) и выберите «Свойства». Это откроет диалоговое окно, включающее вкладку «Пересылки», где вы можете добавить IP-адрес нужного вам DNS-сервера и задать порядок поиска.
решение2
Чтобы AD мог им управлятьзависит отв системе DNS. Есть несколько записей, которые меняются со временем или при определенном событии. Эти записи практически невозможно (или очень сложно) поддерживать вне AD. Вот почему при установке "default click, click" AD начинает действовать как DNS-сервер, и чтобы он работал, вам нужно указать на эти DNS (участник/-ы AD). Если вы хотите использовать тот же домен и для других целей, вы можете выбрать один из следующих сценариев (он выбирается при предоставлении AD / настройке нового домена AD).
хранить записи DNS для домена на DNS AD и пересылать запросы на него
хранить записи DNS на внешнем DNSноОБЪЯВЛЕНИЕдолженбыть настроен на использование внешнего DNS-сервера, а AD должен быть разрешен для динамических обновлений зон на внешних источниках
На практике невозможно иметь домен и внешний DNS-сервер и при этом продолжать "думать" AD как хозяина домена. В этом случае зона будет несогласованной, исходя из того, где вы спрашиваете - все DNS-сервера думают, что знают все, но имеют только часть информации...
Нерабочий сценарий
У вас есть рабочий DNS дляпример.com(пока без AD). Вы принимаете решение использовать AD в той же зоне DNS (пример.com) и выполнить установку «по умолчанию» (предположим, что AD не может проверить существование домена во время установки).
Исходный DNS-сервер не имеет представления о AD
AD думает, что поддерживает зону DNS и не имеет представления об остальной части домена example.com
как только вы подключите любой ПК/сервер к домену - вызамокего в "AD view", так как в противном случае он не будет иметь никакой информации об AD
любая запись DNS, сгенерированная/созданная в AD, не распространяется автоматически на «основной» DNS дляпример.com
Рабочий сценарий А
У вас есть рабочий DNS дляпример.com(пока без AD). Вы принимаете решение использовать AD в той же зоне DNS (пример.com). Допустим, вы собираетесь установить AD на10.20.30.1.
(до установки AD) на текущем DNS-сервере разрешить динамические обновления дляпример..comзона для10.20.30.1(IP-адрес недавно установленного сервера AD)
AD перенесет всю необходимую структуру DNS на внешний DNS-сервер и будет поддерживать ее со временем (со временем вы увидите несколько динамических обновлений ;-) ).
все будет сделано прозрачно для текущих зон DNS. Вам не нужно указывать системы на другие, нежели текущие серверы DNS, поскольку изменения будут сделаны на нем/них напрямую AD
НеобязательноЕсли вы хотите, чтобы это было отделено, вы можете подготовить «служебные поддомены» как дополнительную зону (здесь я не буду углубляться, чтобы сделать это еще длиннее, но и не настолько технически сложным ;-) ). Если вы хотите понять, что это хорошая идея сделать до установки AD, или вы можете заморозить зону и вручную переместить ее в отдельный файл зоны - поддомен.
Рабочий сценарий Б
У вас есть рабочий DNS дляпример.com. Вы принимаете решение использовать AD на поддомене DNS-зоны (поддомен.example.com). Допустим, вы собираетесь установить AD на10.20.30.1.
AD будет действовать как DNS-сервер дляподдомен.example.com.
в случае, если example.com является «официальным» общедоступным / известным (и вашим!) доменом, то на стороне AD все готово
в случае, если вы используете только какой-то локальный домен, после настройки AD вам необходимо добавить зону пересылки дляпример.com(самая высокая локальная зона, которую вы используете - нижняя будет разрешена с помощью "обычной" операции DNS) для указания на ваш текущий DNS-сервер, поскольку она не разрешается "официально" через.комсерверы имен (в случаепример.com).
на текущем DNS-сервере (в данном случае обработкапример.com) вам необходимо добавить запись делегирования для поддомена, чтобы знать, где его искать (недавно добавленный AD)
subdomain.example.com. IN NS ad1.subdomain.example.com. ad1.subdomain.example.com. IN A 10.20.30.1