Como resolver um nome de host em todos os sites no Active Directory?

1

Estou aprendendo atualmente o AD DS.

O cenário da minha empresa parece com o seguinte.

WorkingPC.Asia.Corp.domain.com 172.10.212.62

FileServerA.Asia.Corp.domain.com 172.11.13.21

Asia-DNS-01.Aisa.Corp.domain.com 172.20.10.45

FileServerB.Eur.Corp.domain.com 10.21.11.213

Se eu usar o nslookup no WorkingPC que está associado ao domínio do domínio Asia.

> FileServerA
 Server:  Asia-DNS-01.Asia.corp.domain.com
 Address:  172.20.10.45

 Name:    FileServerA.Asia.corp.domain.com
 Address:  172.11.13.21

> FileServerB
 Server:  Asia-DNS-01.Asia.corp.domain.com
 Address:  172.20.10.45

 Non-authoritative answer:
 Name:    FileServerB.Eur.corp.domain.com
 Address:  10.21.11.213
 Aliases:  FileServerB.corp.domain.com

O problema é:

No meu ambiente de teste, não consigo resolver o host em outro domínio usando um único nome de host.

> FileServerA
 Server:  Asia-DNS-01.Asia.corp.domain.com
 Address:  172.20.10.45

 Name:    FileServerA.Asia.corp.domain.com
 Address:  172.11.13.21

 > FileServerB
 Server:  Asia-DNS-01.Asia.corp.domain.com
 Address:  172.20.10.45

 *** Asia-DNS-01.Asia.corp.domain.com can't find FileServerB: Non-existent domain

Supondo que implantei vários sites usando o AD DS.

Existem domínios:

Eur.Corp.Domain.com 

UK.Eur.Corp.Domain.com

O Reino Unido é um domínio filho da Eur.

Perguntas de atualização para descrição pouco clara.

Existem dois servidores de recursos em dois domínios.

FileServer1 no domínio raiz, então o FQDN do servidor é FileServer1.Eur.Corp.Domain.com .

FileServer2 no nome filho, soe o FQDN do servidor é FileServer2.UK.Eur.Corp.Domain.com .

Quando tento nslookup o servidor no filho usando um único nome como FileServer1 & FileServer2, ambos os servidores podem ser resovled.

Quando tento nslookup o servidor no Pai usando o nome único. FileServer1 pode ser resolvido, mas o FileServer2 é mostrado como inexistente. E então eu uso o FileServer2.UK, funciona.

Isso é normal?

Um servidor na Eur chama-se LAB .UK.Eur.Corp.Domain.com.

Quando eu uso o NSLOOKUP para resolver 'LAB' no site UK.EUR , ele pode retornar o endereço IP correto. Mas se eu tentar o NSLOOKUP no site EUR , ele falhará.

Minha empresa cria um CNAME para cada recurso no domínio filho. Por exemplo, haverá um CNAME LAB.Eur.Corp.Domain.com. Mas como fazer isso?

Existe alguma solução para este problema?

    
por Ray 09.05.2015 / 06:46

2 respostas

3

Vou fazer vários pontos aqui. Alguns estão relacionados à sua pergunta específica e alguns são informações gerais sobre o DNS do AD.

  1. O comportamento padrão do DNS em um domínio do AD é que a _msdcs zone seja definida como Ad-integrated e replicada para todos os servidores DNS da floresta. Isso significa que todos os servidores DNS na floresta manterão uma cópia dessa zona.

  2. O comportamento padrão do DNS em um domínio do AD é que a zona do FQDN do domínio seja definida como Integrada ao anúncio e replicada para todos os servidores DNS no domínio. Isso significa que todos os servidores DNS em cada domínio manterão uma cópia de sua zona FQDN.

  3. Durante o processo DCPROMO do domínio filho, uma delegação para o domínio filho para o servidor DNS filho será criada na zona pai no servidor DNS pai. Consultas DNS totalmente qualificadas para o domínio filho do domínio pai serão "encaminhadas" para o servidor DNS filho.

  4. Durante o processo DCPROMO do domínio filho, um encaminhador será criado no servidor DNS filho para o servidor DNS pai. Este não é um encaminhador condicional (e não precisa ser). Você deve ver isso na guia Encaminhadores nas propriedades do servidor DNS filho. O servidor DNS filho encaminhará consultas para zonas DNS para as quais não é autoritativo para o servidor pai. Isso está ligado ao meu próximo ponto.

  5. A devolução de DNS realiza a resolução de nomes de consultas de rótulo único de registros da zona pai a partir do domínio filho. Por exemplo, se você executar nslookup do domínio filho para FileServer1 , a primeira consulta será realmente FileServer1.UK.Eur.Corp.Domain.com (porque o sufixo DNS primário do domínio filho é anexado à consulta). Quando isso falha (NXDOMAIN é retornado), a devolução de DNS envia uma consulta para FileServer1.Eur.Corp.Domain.com , que é encaminhada ao servidor DNS pai (porque o servidor DNS filho é autoritativo somente para o UK.Eur.Corp.Domain.com zone. As consultas para todos os outros nomes de domínio são encaminhado para o servidor pai. O servidor pai é autoritativo para a Eur.Corp.Domain.com zone e, portanto, resolve a consulta. Se a consulta fosse por www.google.com , o servidor DNS filho encaminharia novamente a consulta ao servidor DNS pai e o servidor DNS pai usaria encaminhadores configurados ou dicas de raiz para resolver a consulta.

  6. Para hosts no domínio pai para resolver nomes de rótulo único no domínio filho, eles precisarão ser configurados com uma lista de pesquisa de sufixos DNS que inclua o sufixo DNS do domínio filho. Você pode configurar isso para todos os membros do domínio pai usando a Diretiva de Grupo. Observe que essa configuração de GPO substitui o sufixo DNS principal e o sufixo DNS específico da conexão, portanto, você precisará adicionar os sufixos DNS pai e filho a essa configuração de Diretiva de Grupo ( Eur.Corp.Domain.com e UK.Eur.Corp.Domain.com ). Observe também que você precisa configurar este SOMENTE no domínio pai.

por 10.05.2015 / 08:26
1

Existem cerca de 3 maneiras de fazer isso sem o horror CNAME que você descreveu.

Todos eles são configurados através do console de gerenciamento de DNS ou via powershell (o módulo precisa ser baixado antes do servidor 2012). Obviamente, a conectividade DNS é necessária entre os controladores de domínio.

EDIT: Tudo isso presume que ambos os três domínios não são totalmente visíveis a partir do www.

Transitários globais A resolução de DNS tende a seguir um caminho "descendente" via delegação. Sua configuração já tem este trabalho (ou seja, LAB.UK.Eur.Corp.Domain.com resolve do seu domínio pai) que deve ser devido a registros NS apontando para os DC's de LAB (ou encaminhamento condicional - ver abaixo). Você pode definir um "Global Forwarder" que enviará todas as solicitações de registros não hospedados localmente para, digamos, os DCs do domínio pai.

Essa configuração pode interferir na conectividade com a Internet, pois as consultas de "www.google.com" (e todo o restante) serão enviadas por meio do seu encaminhador global.

Reencaminhamento condicional Semelhante ao encaminhamento global, você especifica exatamente onde as consultas devem ir para um domínio específico. Assim, você poderia ter consultas para o Reino Unido ir diretamente para o DC do Reino Unido, e consultas para o EURO ir direto para o DC do EURO.

Dicas de raiz interna Eu não recomendo este, e há muito envolvido nesta configuração para eu entrar (eu fiz isso uma vez e mal), mas o conceito está aqui para ser completo.

    
por 09.05.2015 / 10:16