В настоящее время у нас есть филиал без услуг на месте, и мы бы хотели это изменить. Самая большая цель состоит в том, чтобы настроить некоторые файловые серверы, но также приветствуются более быстрые входы в систему и разрешение DNS.
Я провожу некоторые эксперименты с некоторыми виртуальными машинами в отдельной подсети / VLAN, поэтому предположим, что у меня есть лес и домен domain.com:
- Существует один сайт
Officeс подсетью192.168.1/24и одной зоной первичного DNSdomain.com - Добавлен вторичный сайт
TestSiteс подсетью192.168.100/24 - Создана
192.168.100зона обратного просмотра в DNS - Создана виртуальная машина под
Branch-DC01управлением Server 2012 с IP-адресом192.168.100.1 - Добавлено в
domain.comкачестве участника - Установлен
AD DSкак контроллер домена только для чтения (RODC) вTestSite - Основным
DNSсервером дляBranch-DC01.domain.comявляется127.0.0.1 - Настройте область DHCP для нового сервера и настроите DHCP для постоянного обновления DNS
- Создана
Branch-PC01виртуальная машина под управлением Windows 8 и добавлена вdomain.com Branch-PC01получил IP-адрес192.168.100.20от DHCP, DNS-сервера192.168.100.1, запись для члена в зоне прямого просмотраdomain.comприсутствует, но не в зоне обратного просмотра (значимо?)- По
Branch-PC01выполненномуnslookup domain.com- результат вернулся с IP-адресами основногоDCsсOfficeсайта (192.168.1подсети)
Теперь это не так, на мой взгляд, не должно ли это вернуться 192.168.100.1? Или я неправильно понимаю всю концепцию - и как вход в систему должен быть быстрее?
Нужна ли мне отдельная DNS-зона (как это будет работать без субдомена, который я не хочу создавать, если не требуется)?
Любые идеи / статьи, на которые я могу указать, были бы хорошими; Я прочитал кучу статей TechNet и не мудрый.
Спасибо
Обновить
Большое спасибо @TheCleaner и @ charleswj81 за ваши усилия.
Я только что попробовал nltest, и результат тот же от DC филиала и клиентского ПК:
U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
DC: \\Branch-DC01.domain.com
Address: \\192.168.100.1
Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
Dom Name: domain.com
Forest Name: domain.com
Dc Site Name: TestSite
Our Site Name: TestSite
Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully
Обновление 2
- Очищены записи DNS, поэтому любые контейнеры _sites с TestSite имеют только записи SRV, для
Branch-DC01которых после перезапуска клиента не помогло. nltest на клиенте:
`U:> nltest /dsgetdc:domain.com
DC: \\DC01.domain.com Address: \\192.168.1.3 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb Dom Name: domain.comИмя леса: domain.com
Название сайта: Офис
Название нашего сайта: TestSite
Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAINDNS_FOREST FULL_SECRET WS
Команда выполнена успешно
echo %LOGONSERVER%. Когда вы говорите «сайт», я предполагаю, что вы имеете в виду ADS & S и что у вас есть отдельные сайты для вашей ветви?echo %LOGONSERVER%вернулся с именем хоста одного из главных контроллеров домена с основного сайта, да, у меня есть отдельный сайт с указанной подсетью и подTestSite->Serversя вижу тестовый контроллер домена в качестве единственной записиОтветы:
Клиент на одном сайте вполне нормально получает разрешение DNS для домена на DC на другом сайте. Это связано со всеми записями «(такими же, как у родителя) A для зоны прямого просмотра домена. Каждый ДК будет указан в списке круговой проверки для домена.
Это не самый идеальный вариант для эффективности разрешения DNS (и может вызвать проблемы, если некоторые сайты недоступны), но вы можете настроить такие вещи, как DNS с геотегами, чтобы смягчить его, и это совершенно нормальное поведение. Как только клиент получает DC, любой DC, чтобы ответить, этот DC будет использовать конфигурацию Sites and Zones для выборки DC в его соответствующей зоне и информировать клиента для направления дальнейших запросов к этому DC. После входа в систему клиент кэширует свой сайт и в основном использует% LOGONSERVER% для будущих транзакций.
источник