Вопрос или проблема
У меня есть вполне счастливая сеть с доменным именем (example.com), сервером DHCP/DNS и несколькими клиентами.
DNS-сервер моей сети не является DNS-сервером, установленным в качестве NS для доменного имени; там я использую тот, который пришел с регистрацией домена. Я могу вручную создать любые записи, которые хочу, но меня не интересует замена этого сервера.
Всё отлично работает, пока я не пытаюсь использовать Active Directory. Я настроил контроллер домена и указал ему запустить домен Active Directory example.com. (Я знаю, что делать это не рекомендуется, потому что это означает, что вы не можете выбрать легкое решение, сделав AD DNS для своего собственного поддомена. Тем не менее, я это сделал.) Контроллер домена действительно хочет взять на себя работу с DNS для example.com. Я понял, что существуют некоторые записи SRV, которые позволяют клиентам AD обнаруживать контроллер домена через DNS. Похоже, контроллер домена создал их в своем внутреннем DNS, но я не могу понять, как получить доступ к их именам и значениям, чтобы добавить их в систему DNS регистратора, которая на самом деле является авторитетной для доменного имени. В результате клиенты обращаются к внутреннему серверу DHCP/DNS, чтобы попытаться обнаружить контроллер домена для example.com, он запрашивает у авторитетного NS для example.com, NS не имеет записей, и клиенты жалуются, что не могут найти никаких контроллеров домена для домена AD.
Какие записи должны быть в зоне DNS, чтобы клиенты AD могли обнаружить (и правильно использовать) контроллер домена через DNS? Как я могу создать их вручную?
Контроллер домена работает на Samba, если это имеет значение.
Я уверен, что эта настройка никогда не будет делать приятные вещи, такие как предоставление вам бесплатного динамического DNS, который следует за всеми клиентами, подключенными к домену. Мне не нужны эти функции; мне просто необходимо, чтобы контроллер домена был найден и входы в систему работали.
Ответ или решение
Как обнаружить контроллер домена Active Directory с независимым DNS
Ваша ситуация заключается в наличии работающей сети с зарегистрированным доменом (example.com), сервером DHCP/DNS и клиентами, где DNS-сервер не является тем, который настроен как NS для вашего домена. Ваша цель – настроить поиск контроллера домена (DC) Active Directory (AD) при помощи записей DNS, чтобы клиенты могли без проблем взаимодействовать с DC.
Причины проблемы
Контроллер домена всегда пытается управлять DNS для своей области, что создаёт трудности, когда DNS-сервер для вашей доменной зоны не совпадает с тем, который используется контроллером. Ваша DHCP/DNS-система обращается к авторитетным серверам имен (NS) для example.com, но не находит нужных записей SRV, необходимых для обнаружения контроллера домена.
Записи DNS, необходимые для обнаружения контроллера домена
Для успешного обнаружения контроллера домена Active Directory необходимо создать следующие записи в вашем авторитетном DNS:
-
SRV записи: Эти записи необходимы для указания местоположения служб Active Directory.
- Запись для LDAP:
_ldap._tcp.example.com. 3600 IN SRV 0 100 389 dc.example.com. - Запись для Global Catalog:
_gc._tcp.example.com. 3600 IN SRV 0 100 3268 dc.example.com. - Запись для Kerberos:
_kerberos._tcp.example.com. 3600 IN SRV 0 100 88 dc.example.com.
- Запись для LDAP:
-
A записи: Эти записи связывают доменное имя с IP-адресом контроллера.
dc.example.com. 3600 IN A <IP-адрес вашего контроллера домена> -
PTR записи: Они используются для обратного разрешения IP-адреса в имя хоста, если это необходимо.
<IP-адрес вашего контроллера домена>.in-addr.arpa. 3600 IN PTR dc.example.com.
Как создать записи вручную
Следуйте этим шагам:
-
Получите доступ к управлению DNS: Войдите в панель управления вашего DNS-хостинга или используйте интерфейс командной строки, если это поддерживается.
-
Создайте SRV записи:
- Найдите опцию добавления новой записи.
- Выберите тип записи SRV и заполните поля, как указано выше. Обратите внимание на формат записи.
-
Создайте A записи:
- Найдите опцию добавления новой записи.
- Выберите тип записи A и введите имя (dc.example.com) и соответствующий IP-адрес.
-
Создайте PTR записи (если необходимо):
- Если у вас есть доступ к управлению обратными записями, добавьте соответствующую запись PTR.
-
Сохраните изменения: После применения всех изменений проверьте, доступна ли новая информация через утилиты, такие как
nslookup.
Проверка конфигурации
После создания всех необходимых записей используйте команды nslookup и dig для проверки их корректности и доступности. Запустите команды:
nslookup _ldap._tcp.example.com
nslookup dc.example.comЭто должен подтвердить, что записи корректно видны и резолвятся.
Заключение
Настройка Active Directory с независимым DNS требует внесения различных записей в DNS, которые обеспечивают правильную работу ваших клиентов в сети. Хотя использование внешнего DNS-сервера может не дать преимущества динамического обновления, с правильной конфигурацией вы сможете достичь стабильной работы системы аутентификации и обнаружения контроллера домена. Убедитесь, что вы сохраняете регулярные резервные копии настроек DNS для предотвращения потери информации.