Domínio do Active Directory onde o nome FQDN e NetBIOS são os mesmos

2

Eu "herdei" um domínio antigo (NT4, em seguida, atualizei para Win2000 Mixed Mode e agora em execução no Win2003), onde o nome NetBIOS coincide com o DNS / FQDN, e isso está nos dando problemas com clientes remotos que precisam ser associado ao domínio.

Permite que o domínio seja chamado de EXAMPLE : é ambos o nome NetBIOS e o nome DNS, como pode ser visto abrindo o painel de administração do DNS. Dentro da LAN local, além de alguma confusão ocasional sobre qual protocolo está resolvendo o nome da máquina, este arranjo parece funcionar.

Em LANs remotas (conectadas por VPN), ocorrem problemas: o cliente remoto não pode se conectar ao domínio. A mensagem de erro informa que a consulta DNS retorna corretamente a lista de controladores de domínio, mas nenhum servidor de domínio pode ser contatado. Do ponto de vista da conectividade, todas as portas são abertas dentro da VPN, portanto, isso não se deve à ACL e aos semelhantes.

Em vez disso, usando o Wireshark para examinar os pacotes trocados, posso ver muitas (%) NBNS consultas - em outras palavras, o PC remoto está usando o método de resolução de transmissão NetBIOS para localizar o controlador de domínio. Isso claramente irá falhar, pois o NetBIOS é um protocolo não roteável por design.

Em suma, parece que, ao inserir um nome de domínio no estilo NetBIOS no painel GUI "Membro do domínio:", o Windows usa apenas o NetBIOS para resolver / localizar os controladores de domínio, sem reserva DNS. De alguma forma, isso pode até ser esperado: afinal, EXAMPLE não é um nome DNS válido (no entanto, eu me pergunto por que o assistente de criação de domínio deixou isso acontecer no primeiro caso, mas eu divago ...).

Portanto, contornando o problema, testei algumas soluções:

  • contornar o problema completamente, unindo o PC ao domínio quando ele estiver em nossa LAN local para instalação / preparação do sistema operacional (claramente não pode ser feito para o cliente já implantado em locais remotos)
  • use um arquivo lmhosts
  • corretamente criado
  • instalação e uso do WINS

A última abordagem (WINS) parece claramente melhor, já que evita a distribuição de um arquivo (potencialmente cambiante) lmhosts para os clientes remotos. No entanto, gostaria de resolver o problema de uma vez por todas.

Então, minhas perguntas são:

  • posso forçar o Windows a usar nomes DNS em vez de NetBIOS (observação: eu já tentei desativar a resolução de nomes NetBIOS na página de propriedades da NIC, sem sucesso)
  • esta situação pode ser normalizada sem alterar radicalmente o domínio atual?
  • novo : posso adicionar algo como um "alias de domínio DNS" para atribuir um nome FQDN corretamente formado ao domínio atual do AD?
  • o domínio pode ser renomeado? Se sim, que problema posso esperar fazer isso?
  • se tudo o que precede for "não", a melhor abordagem para criar um domínio novo é migrar gradualmente o cliente / servidor atual para o novo?

Obrigado.

    
por shodanshok 06.06.2017 / 15:23

1 resposta

4

A resolução de nomes WINS / Netbios nunca deve ser usada para nada devido aos riscos de segurança. Além disso, quando a resolução de nomes do Netbios é ativada, o Windows sempre executa uma consulta do Netbios / WINS simultaneamente com as pesquisas de DNS, independentemente de o nome estar disponível no DNS ou não. Se o ambiente não tiver nenhum produto ou aplicativo que falhe devido a uma renomeação de domínio, isso pode ser uma opção.

Você pode querer ler sobre suporte a nome DNS de rótulo único:

link

link

Infelizmente, você está trabalhando com uma versão do Windows (2003) que não é mais suportada. Um teste mais contemporâneo seria usar a zona GlobalNames para resolução de nome flat / single-label, mas você não tem isso.

    
por 06.06.2017 / 15:48