Está apontando o DNS para o Controlador de Domínio necessário para que os GPOs funcionem?

1

Deixe-me começar por dizer que não sou de forma alguma um administrador de sistemas treinado, mas sim, digamos, aprendendo em qualquer lugar. Desculpas se a resposta às minhas perguntas for óbvia, mas não consegui encontrar uma resposta exata através da pesquisa Google / Serverfault.

Portanto, sou responsável por gerenciar cerca de 200 computadores com Windows nos quais trabalho e aprendi recentemente sobre esse diretório ativo para efetuar facilmente as alterações em todos os computadores, o que é ótimo. Então eu configurei o controlador de domínio para unir os computadores ao domínio. Perfeito.

Exceto que os GPOs que eu defini não estão sendo enviados para os computadores. Eu tentei executar "gpupdate / force" em um computador e mostra o seguinte erro

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

User Policy update has completed successfully.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.

Eu olhei em volta um pouco mais e parece que quando eu aponto o DNS dos clientes para o controlador de domínio, as atualizações passam (Running nsloookup {domain.com} retorna uma resposta não autoritativa). Agora, pode ser que apontar o DNS para o DC seja obrigatório no AD. Mas eu nunca vi isso mencionado em nenhum dos tutoriais que encontrei, o que é realmente estranho. Então é realmente necessário? ( Este é o resposta mais próxima que eu encontrei para isso , que parece sugerir que sim, mas há realmente nenhuma outra maneira? Eu não posso retornar uma resposta autoritária ao nslookup?)

Se for necessário, posso atualizar o DNS de todos os computadores no domínio sem ir fisicamente a cada computador?

Isso também levanta outro problema. E se eu, por algum motivo, tiver que alterar o IP atual do DC. Preciso então atualizar o DNS novamente em todos os computadores?

Obrigado pelo seu tempo e aguardamos seu conselho.

    
por Manoj Jain 06.11.2017 / 12:17

2 respostas

3

Um dos meus favoritos "DNS é a resposta, a questão não importa".

Políticas de grupo são armazenadas na pasta FQDN \ Sysvol \ FQDN \ Policies - se você não conseguir resolver seu FQDN da sua solução de DNS, o processamento do GPO falhará.

Um domínio do Active Directory precisa do DNS, ele não tem como DNS Integrado do AD (instalando a função de servidor DNS no Controlador de Domínio), mas é mais fácil de administrar. Se você fizer isso, poderá apontar todos os computadores do seu domínio para o Controlador de Domínio para DNS e pronto.

O controlador de domínio deve ter um único IP estático, listado como uma prática recomendada e, normalmente, todos os servidores, devido à sua natureza de estar online para solicitações de serviço, usam IPs estáticos. Com isso em mente, os IPs não deveriam estar mudando. Se o IP for alterado, existem vários scripts para alterar programaticamente os IPs do servidor DNS do computador membro, faça uma pesquisa.

Como o computador adota o script vbs? Precisa de DNS para resolver o nome de domínio para participar. Contanto que o script funcione, o computador já está apontando para um servidor DNS que aponta para o domínio e o processamento da Diretiva de Grupo deve estar correto. Aviso: você pode obter uma associação "bem-sucedida" sem realmente se unir graças à decisão genial da Microsoft de incorporar "associação offline de domínio" para reduzir a aparência de erros. A melhor maneira de testar isso é fazer o login com uma conta de domínio real. Se você receber um erro do tipo "o domínio não está acessível", provavelmente você ainda tem um problema de DNS.

    
por 06.11.2017 / 16:29
2

Resposta curta para "você precisa de DNS apontando para o controlador de domínio para que o GPO funcione" é sim. spacenomyous tem a resposta lá em cima.

Suponho que, se você é novo no AD e no DNS, também pode ser novo no DHCP, que concederá dinamicamente endereços IP e configurações associadas aos clientes. Você pode adicionar essa função ao DC (ou outro servidor) e, em seguida, apontar seus clientes para usar o DHCP para atualizar as configurações de rede, incluindo as entradas de DNS para que elas apontem para o DNS interno.

Se você absolutamente deve configurá-los em cada computador, então você deve estar aprendendo alguns scripts Powershell para automatizar. Se você puder fazer um script .vbs, poderá ver o seguinte link para descobrir como atualizar os clientes:

link

    
por 06.11.2017 / 16:41