Está apontando o DNS para o Controlador de Domínio necessário para que os GPOs funcionem?

Navegue suas respostas
1

Deixe-me começar por dizer que não sou de forma alguma um administrador de sistemas treinado, mas sim, digamos, aprendendo em qualquer lugar. Desculpas se a resposta às minhas perguntas for óbvia, mas não consegui encontrar a pesquisa do Google / Superusuário.

Portanto, sou responsável por gerenciar cerca de 200 computadores com Windows nos quais trabalho e aprendi recentemente sobre esse diretório ativo para efetuar facilmente as alterações em todos os computadores, o que é ótimo. Então eu configurei o controlador de domínio para unir os computadores ao domínio. Perfeito.

Exceto que os GPOs que eu defini não estão sendo enviados para os computadores. Eu tentei executar "gpupdate / force" em um computador e mostra o seguinte erro

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

User Policy update has completed successfully.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.

Eu olhei em volta um pouco mais e parece que quando eu aponto o DNS dos clientes para o controlador de domínio, as atualizações passam (Running nsloookup {domain.com} retorna uma resposta não autoritativa). Agora, pode ser que apontar o DNS para o DC seja obrigatório no AD. Mas eu nunca vi isso mencionado em nenhum dos tutoriais que encontrei, o que é realmente estranho. Então é realmente necessário? Se for, há alguma maneira de atualizar o DNS de todos os computadores no domínio sem ir fisicamente a cada computador?

Isso também levanta outro problema. E se eu, por algum motivo, tiver que alterar o IP atual do DC. Preciso então atualizar o DNS novamente em todos os computadores?

Obrigado pelo seu tempo e aguardamos seu conselho.

    
por Manoj Jain 06.11.2017 / 12:31

2 respostas

2

pointing the DNS to DC is mandatory in AD

Não.

O único requisito de DNS real 1 é que o seu domínio do AD (com subdomínios) deve ser solucionável pelos clientes - mas não há nada especificado sobre o caminho exato necessário. ("Resposta não autoritativa" é completamente normal.)

Por exemplo, se os seguintes comandos retornarem resultados bem-sucedidos (SOA com informações de zona, SRV com detalhes do serviço), a configuração do DNS deverá ser boa. 

nslookup -q=soa YOURDOMAIN
nslookup -q=srv _ldap._tcp.YOURDOMAIN
nslookup -q=srv _ldap._tcp.dc._msdcs.YOURDOMAIN

(A SOA não é estritamente necessária, mas eu a incluí para atualizações de DNS dinâmicas. Há outros registros obrigatórios, por exemplo, _kerberos._tcp , mas provavelmente não há necessidade de testar cada um deles.)

  • Portanto, se o domínio do AD foi escolhido no namespace global, por exemplo, ad.example.com ou corp.example.com , e se foi devidamente delegada (ou seja, o domínio pai example.com tem registros NS corretos) e se os servidores DNS regulares podem encaminhar as consultas DNS para o AD DC (ou seja, a porta 53 não está com o firewall desligado), isso é o suficiente.

    ( A porta DNS nos controladores de domínio não precisa estar acessível para todo o mundo , apenas para os PCs associados. Correção: ele precisa estar acessível ao DNS resolvers ; isto é, para os servidores DNS que seus PCs usam.)

  • Se o domínio do AD não puder ser delegado por algum motivo (por exemplo, se você escolheu um TLD inventado como example.corp ), mas os PCs ainda usam alguns outros internamente- gerenciados, então ainda é suficiente apenas configurar uma "zona de encaminhamento" ou "zona de stub" nesses servidores DNS.

  • Se você não puder fazer delegação e não controle os servidores DNS sendo usados ... então você tem um problema. Você ainda pode fazer truques como o NAT de todas as solicitações DNS para que eles acessem um servidor DNS interno; funciona, mas é bastante feio em princípio.

  • (Nos três casos acima, há realmente apenas um lugar para reconfigurar caso você adicione ou mova DCs - seja registros NS / cola ou a configuração "stub zone" ou qualquer outra coisa .)

Apontar o DNS diretamente para os DCs é útil somente em raras situações, por exemplo ao configurar um domínio de "teste" com 2 a 3 PCs ou quando os CDs fazem na verdade duplicar como os principais resolvedores de DNS da organização (o que, acredito, foi contra todas as recomendações anteriores ao Server 2016).

1 É claro que existem outros requisitos relacionados a não-DNS . No mínimo, os PCs devem ser capazes de acessar o Kerberos no DC para autenticação; LDAP (catálogo regular e global) para procurar informações sobre GPOs; e SMB (por exemplo, compartilhamento de arquivos) para fazer o download dos próprios GPOs.

Para a solução de problemas, eu instalaria o Wireshark em uma estação de trabalho, iniciaria o monitoramento de pacotes e observaria o que acontece quando gpupdate /force é executado. Também existem vários botões do Windows para ativar o registro detalhado de processamento de GPO.

    
por 06.11.2017 / 13:01
0

Não para diminuir a resposta detalhada fornecida de outra forma, mas não tenho certeza de que resolveu totalmente sua pergunta.

Aqui estão algumas respostas curtas sobre como isso funciona.

1) Sim, seus computadores devem usar os DCs como seus únicos servidores DNS. É verdade que você poderia usar servidores DNS alternativos e encaminhar solicitações ou duplicar / replicar registros, mas isso seria raro em uma organização menor e exigiria mais trabalho administrativo. E, não importa de onde vêm os registros, é necessário que seja possível resolver todos os registros armazenados no controlador de domínio. Normalmente, você usará seus servidores DNS internos do AD para seus sistemas internos e configurará seus servidores DNS internos para encaminhar todas as outras solicitações para os servidores DNS do seu provedor -  isso é feito na configuração "Forwarders".

2) O DHCP é o que distribui as informações do endereço IP para os sistemas dinamicamente. Em uma organização típica do Active Directory, você desabilitará o DHCP em quaisquer roteadores / gateways e habilitará a função DHCP em um dos seus servidores - normalmente um DC. Isso ocorre porque o DHCP pode trabalhar em conjunto com o servidor DNS para manter os registros atualizados. Dentro de sua configuração DHCP, você especificará quais servidores DNS serão usados em seus sistemas internos. Uma organização de 200 sistemas não deveria, ou não deveria, estar usando o endereçamento IP estático - portanto, as configurações de DNS não são algo que você precise alterar em cada sistema. Você gerencia isso centralmente, modificando sua configuração DHCP. Você precisa ter um servidor DHCP configurado corretamente em todas as sub-redes da sua organização.

3) se você alterar o endereço IP dos servidores de CD / DNS que acabou de atualizar o DHCP para refletir essas alterações nos seus sistemas. No entanto, você deve planejar com antecedência e não criar uma situação em que precise alterar um endereço IP de um controlador de domínio, pois há outras implicações além das configurações de DNS, se você fizer isso.

    
por 06.11.2017 / 14:01

Tags

Automatizar a criação de perfil do outlook Problemas de inicialização do Raspberry Pi após editar o fstab em outro Linux