Bagaimana DNS terkait dengan Active Directory dan apa saja konfigurasi umum yang harus saya ketahui?

Harap dicatat bahwa saya tahu jawabannya dan telah memberikan satu di bawah ini. Saya melihat banyak administrator sistem yang lebih baru yang tidak memahami isi jawaban saya, jadi saya harap semua pertanyaan AD DNS pemula akan ditutup sebagai duplikat dari ini. Jika Anda memiliki sedikit peningkatan, silakan edit jawaban saya. Jika Anda dapat memberikan jawaban lengkap yang lebih komprehensif, silakan tinggalkan satu.

Bagaimana DNS terkait dengan Active Directory dan apa saja konfigurasi umum yang harus saya ketahui?

Active Directory bergantung pada infrastruktur DNS yang dikonfigurasi dengan baik dan fungsional . Jika Anda memiliki masalah Direktori Aktif, kemungkinan Anda memiliki masalah DNS. Hal pertama yang harus Anda periksa adalah DNS. Hal kedua yang harus Anda periksa adalah DNS. Hal ketiga yang harus Anda periksa adalah DNS.

Apa itu DNS?

Ini adalah situs untuk para profesional, jadi saya anggap Anda setidaknya sudah membaca artikel Wikipedia yang bagus . Singkatnya, DNS memungkinkan alamat IP dapat ditemukan dengan mencari perangkat dengan nama. Sangat penting bagi Internet untuk berfungsi seperti yang kita tahu dan itu berjalan di semua kecuali yang terkecil dari LAN.

DNS, pada tingkat paling dasar dipecah menjadi tiga bagian mendasar:

• Server DNS: ini adalah server yang menyimpan catatan untuk semua klien yang menjadi tanggung jawab mereka. Di Active Directory, Anda menjalankan peran Server DNS pada Pengontrol Domain.

• Zona: Salinan zona dipegang oleh server. Jika Anda memiliki nama AD ad.example.com, maka ada zona pada Pengontrol Domain Anda yang memiliki DNS diinstal bernama ad.example.com. Jika Anda telah komputer bernama computerdan terdaftar dengan server DNS, itu akan membuat catatan DNS bernama computerdi ad.example.comdan Anda akan dapat mencapai komputer yang melalui Fully Qualified Domain Name (FQDN), yang akancomputer.ad.example.com

• Catatan: Seperti yang saya sebutkan di atas, zona menyimpan catatan. Catatan memetakan komputer atau sumber daya ke alamat IP tertentu. Jenis rekaman yang paling umum adalah catatan A, yang berisi nama host dan alamat IP. Yang paling umum kedua adalah catatan CNAME. CNAME berisi nama host dan nama host lain. Ketika Anda mencari hostname1, ia melakukan pencarian lain dan mengembalikan alamat untuk hostname2. Ini berguna untuk mengaburkan sumber daya seperti server web atau berbagi file. Jika Anda memiliki CNAME untuk intranet.ad.example.comdan server di belakangnya berubah, semua orang dapat terus menggunakan nama yang mereka tahu dan Anda hanya perlu memperbarui catatan CNAME untuk menunjuk ke server baru. Berguna ya?

Oke, bagaimana hubungannya dengan Active Directory?

Ketika Anda menginstal Active Directory dan peran Server DNS pada Pengontrol Domain pertama Anda di domain, itu secara otomatis membuat dua zona pencarian maju untuk domain Anda. Jika domain AD Anda ad.example.comseperti dalam contoh di atas ( perhatikan bahwa Anda tidak boleh menggunakan " example.com" hanya sebagai nama domain untuk Direktori Aktif ), Anda akan memiliki zona untuk ad.example.comdan _msdcs.ad.example.com.

Apa yang dilakukan zona ini? PERTANYAAN HEBAT! Mari kita mulai dengan _msdcszona. Itu memegang semua catatan yang mesin klien Anda perlu menemukan pengontrol domain. Ini termasuk catatan untuk menemukan situs AD. Ini memiliki catatan untuk pemegang peran FSMO yang berbeda. Bahkan menyimpan catatan untuk server KMS Anda, jika Anda menjalankan layanan opsional ini. Jika zona ini tidak ada, maka Anda tidak akan bisa masuk ke workstation atau server Anda.

Apa yang ad.example.comdipegang oleh zona? Itu memegang semua catatan untuk komputer klien Anda, server anggota, dan catatan A untuk Pengontrol Domain Anda. Mengapa zona ini penting? Sehingga workstation dan server Anda dapat berkomunikasi satu sama lain di jaringan. Jika zona ini tidak ada, Anda mungkin bisa masuk, tetapi Anda tidak akan bisa melakukan banyak hal selain menjelajahi Internet.

Bagaimana cara saya mendapatkan catatan di zona ini?

Yah, untungnya bagi Anda, itu mudah. Ketika Anda menginstal dan mengkonfigurasi pengaturan server DNS selama dcpromo, Anda harus memilih untuk mengizinkan Secure Updates Onlyjika diberi pilihan. Ini berarti bahwa hanya PC yang bergabung dengan domain yang dikenal yang dapat membuat / memperbarui catatan mereka.

Mari kita mundur sejenak. Ada beberapa cara agar suatu zona bisa mendapatkan catatan di dalamnya:

1. Mereka secara otomatis ditambahkan oleh workstation yang dikonfigurasi untuk menggunakan server DNS. Ini adalah yang paling umum dan harus digunakan bersama dengan "Pembaruan Aman Saja" di sebagian besar skenario. Ada beberapa kasus tepi di mana Anda tidak ingin pergi dengan cara ini, tetapi jika Anda membutuhkan pengetahuan dalam jawaban ini, maka ini adalah cara yang ingin Anda lakukan. Secara default, workstation atau server Windows akan memperbarui catatannya sendiri setiap 24 jam, atau ketika adaptor jaringan mendapatkan alamat IP yang ditetapkan untuknya , baik melalui DHCP atau secara statis.

2. Anda secara manual membuat catatan. Ini mungkin terjadi jika Anda perlu membuat CNAME atau jenis catatan lainnya, atau jika Anda menginginkan catatan A yang tidak ada di komputer AD tepercaya, mungkin server Linux atau OS X yang Anda inginkan agar klien Anda dapat menyelesaikannya dengan nama.

3. Anda membiarkan DHCP memperbarui DNS ketika sewa diberikan. Anda melakukan ini dengan mengkonfigurasi DHCP untuk memperbarui catatan atas nama klien dan menambahkan server DHCP ke grup DNSUpdateProxy AD. Ini sebenarnya bukan ide yang baik, karena itu membuka Anda untuk keracunan zona. Keracunan zona (atau keracunan DNS) adalah apa yang terjadi ketika komputer klien memperbarui zona dengan catatan berbahaya dan berupaya menyamar sebagai komputer lain di jaringan Anda. Ada beberapa cara untuk mengamankan ini, dan memang ada kegunaannya, tetapi Anda lebih baik membiarkannya sendiri jika Anda tidak tahu.

Jadi, sekarang kita memiliki itu dari jalan kita dapat kembali ke jalurnya. Anda telah mengonfigurasi server DNS AD Anda hanya untuk memungkinkan pembaruan yang aman, infrastruktur Anda berjalan lancar, dan kemudian Anda menyadari bahwa Anda memiliki banyak catatan duplikat! Apa yang kamu lakukan tentang ini?

Pemulung DNS

Artikel ini wajib dibaca . Ini merinci praktik dan pengaturan terbaik yang harus Anda konfigurasi untuk memulung. Ini untuk Windows Server 2003, tetapi masih berlaku. Membacanya.

Pemulungan adalah jawaban untuk masalah rekaman duplikat yang diajukan di atas. Bayangkan Anda memiliki komputer yang mendapatkan IP 192.168.1.100. Ini akan mendaftarkan catatan A untuk alamat itu. Lalu, bayangkan itu dimatikan untuk jangka waktu yang lama. Saat dihidupkan kembali, alamat itu diambil oleh komputer lain, jadi ia dapat 192.168.1.120. Sekarang ada catatan A untuk keduanya.

Jika Anda mencari zona Anda, ini tidak akan menjadi masalah. Catatan basi akan dihapus setelah interval tertentu dan Anda akan baik-baik saja. Pastikan Anda tidak mengais semuanya secara tidak sengaja, seperti menggunakan interval 1 hari. Ingat, AD bergantung pada catatan-catatan ini. Konfigurasikan pembersihan secara pasti, tetapi lakukan dengan bertanggung jawab, sebagaimana diuraikan dalam artikel di atas.

Jadi, sekarang Anda memiliki pemahaman dasar tentang DNS dan bagaimana itu diintegrasikan dengan Active Directory. Saya akan menambahkan sedikit demi sedikit di jalan, tapi jangan ragu untuk menambahkan pekerjaan Anda sendiri juga.