Konfigurasi DNS dan Direktori Aktif untuk kantor cabang

8

Kami memiliki kantor cabang tanpa layanan di tempat saat ini, dan kami ingin mengubahnya. Tujuan terbesar adalah untuk menyiapkan beberapa server file tetapi login yang lebih cepat dan resolusi DNS akan diterima juga.

Saya sedang melakukan beberapa percobaan dengan beberapa VM pada subnet / VLAN yang terpisah jadi katakanlah saya punya hutan dan domain domain.com:

  1. Ada satu situs Officedengan subnet 192.168.1/24dan zona DNS Primer tunggaldomain.com
  2. Menambahkan situs sekunder TestSitedengan subnet192.168.100/24
  3. Membuat 192.168.100zona pencarian terbalik di DNS
  4. Membuat VM yang Branch-DC01menjalankan Server 2012, dengan alamat IP192.168.100.1
  5. Ditambahkan domain.comsebagai anggota
  6. Diinstal AD DSsebagai Pengontrol Domain Hanya Baca (RODC) diTestSite
  7. DNSServer utama Branch-DC01.domain.comadalah127.0.0.1
  8. Setup DHCP scope untuk server baru dan dikonfigurasi untuk DHCP untuk selalu memperbarui DNS
  9. Dibuat Branch-PC01VM yang menjalankan Windows 8 dan ditambahkan kedomain.com
  10. Branch-PC01mendapat alamat IP 192.168.100.20dari DHCP, server DNS 192.168.100.1, entri untuk anggota di zona pencarian maju domain.comhadir tetapi tidak di zona pencarian terbalik (signifikan?)
  11. Saat Branch-PC01dieksekusi nslookup domain.com- hasilnya kembali dengan alamat IP utama DCsdari Officesitus ( 192.168.1subnet)

Sekarang ini tidak benar di pikiran saya - tidakkah seharusnya kembali 192.168.100.1? Atau apakah saya salah paham seluruh konsep - dan bagaimana seharusnya login lebih cepat?

Apakah saya memerlukan zona DNS terpisah (bagaimana cara kerjanya tanpa subdomain yang tidak ingin saya buat, kecuali diperlukan)?

Setiap ide / artikel yang dapat saya tunjukkan akan sangat bagus; Saya telah membaca banyak artikel TechNet dan tidak ada yang lebih bijak.

Terima kasih

Memperbarui

Banyak terima kasih kepada @TheCleaner dan @ charleswj81 atas upaya Anda yang dihargai.

Saya baru saja mencoba nltest dan hasilnya sama dari cabang DC dan PC klien:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Perbarui 2

  1. Membersihkan entri DNS sehingga setiap wadah _sites dengan TestSite hanya memiliki catatan SRV Branch-DC01yang setelah restart klien tidak membantu.
  2. nltest pada klien:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com
    
      Address: \\192.168.1.3
    
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
    
     Dom Name: domain.com
    

    Nama Hutan: domain.com

    Nama Situs Dc: Kantor

    Nama Situs Kami: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
    

    DNS_FOREST FULL_SECRET WS

    Perintah selesai dengan sukses`

hyp
sumber
Pertama, periksa PC cabang dan lihat DC mana yang benar-benar mengotentikasi Anda. Dari garis cmd jalankan: echo %LOGONSERVER%. Ketika Anda mengatakan situs, saya berasumsi maksud Anda ADS & S dan bahwa Anda memiliki situs terpisah di sana untuk cabang Anda?
TheCleaner
@TheCleaner echo %LOGONSERVER%kembali dengan nama host dari salah satu DC utama dari situs utama, ya saya punya situs terpisah dengan subnet yang ditentukan dan di bawah TestSite-> ServersSaya dapat melihat tes DC sebagai satu-satunya entri
hyp
Sudahkah Anda mengujinya lebih dari satu kali? Saya bertanya karena dengan RODC menggunakan info login yang di-cache, jadi jika ini adalah satu-satunya / pertama kali meneruskan permintaan auth ke DC normal. Oh dan DC lainnya, apakah mereka setidaknya 2008?
TheCleaner
Saya baru saja me-restart PC klien dan logout / kembali, setiap kali% LOGONSERVER% adalah salah satu DC kantor utama. Melihat DNS sepertinya catatan NS dihasilkan untuk semua DC (cabang + kantor) untuk zona lookup cabang terbalik - jika itu bisa membantu? Mencoba menghapus semua kecuali cabang DC dari zona itu tetapi mereka baru saja dihasilkan lagi ...
hyp
@TheCleaner lupa untuk menjawab tentang versi - DC utama adalah 2x Server 2008 R2 + 1x Server 2012
hyp

Jawaban:

0

Sangat normal bagi klien di satu situs untuk menerima resolusi DNS untuk domain ke DC di situs yang berbeda. Ini karena semua catatan "(sama dengan induk)" untuk zona pencarian zona maju. Setiap DC akan dicantumkan round robin untuk domain tersebut.

Ini bukan yang paling ideal untuk efisiensi resolusi DNS (dan dapat menyebabkan masalah jika beberapa situs tidak tersedia) tetapi Anda dapat mengatur hal-hal seperti DNS yang diberi geotag untuk memitigasi dan itu adalah perilaku normal. Setelah klien mendapat DC, DC apa pun, untuk merespons, DC akan memanfaatkan konfigurasi Situs dan Zona untuk mengambil DC di zona yang semestinya dan memberi tahu klien untuk mengarahkan permintaan lebih lanjut terhadap DC itu. Setelah klien masuk, cache situsnya dan kebanyakan menggunakan% LOGONSERVER% untuk transaksi di masa depan.

duct_tape_coder
sumber