Configuración de DNS y Active Directory para una sucursal

8

Tenemos una sucursal sin servicios en el sitio en este momento, y nos gustaría cambiar eso. El objetivo principal es configurar algunos servidores de archivos, pero también serán bienvenidos los inicios de sesión más rápidos y la resolución DNS.

Estoy haciendo algunos experimentos con algunas máquinas virtuales en una subred / VLAN separada, así que digamos que tengo bosque y dominio domain.com:

  1. Hay un único sitio Officecon una subred 192.168.1/24y una única zona DNS primariadomain.com
  2. Se agregó un sitio secundario TestSitecon una subred192.168.100/24
  3. 192.168.100Zona de búsqueda inversa creada en DNS
  4. Creó una VM que Branch-DC01ejecuta Server 2012, con dirección IP192.168.100.1
  5. Agregado a domain.comcomo miembro
  6. Instalado AD DScomo un controlador de dominio de solo lectura (RODC) enTestSite
  7. El DNSservidor principal para Branch-DC01.domain.comes127.0.0.1
  8. Configure el alcance de DHCP para el nuevo servidor y configure para que DHCP siempre actualice DNS
  9. Branch-PC01VM creada con Windows 8 y agregada adomain.com
  10. Branch-PC01obtuvo la dirección IP de 192.168.100.20DHCP, servidor DNS 192.168.100.1, entrada para el miembro en la zona de búsqueda directa domain.compresente pero no en la zona de búsqueda inversa (¿significativo?)
  11. Al Branch-PC01ejecutar nslookup domain.com: el resultado volvió con las direcciones IP de la página principal DCsdel Officesitio ( 192.168.1subred)

Ahora, esto no está bien en mi mente, ¿no debería volver 192.168.100.1? ¿O estoy malinterpretando todo el concepto, y cómo se supone que los inicios de sesión sean más rápidos?

¿Necesito una zona DNS separada (cómo funcionaría sin un subdominio que no quiero crear, a menos que sea necesario)?

Cualquier idea / artículo que me pueda señalar sería genial; He leído un montón de artículos de TechNet y no soy el más sabio.

Gracias

Actualizar

Muchas gracias a @TheCleaner y @ charleswj81 sus esfuerzos son apreciados.

Acabo de probar nltest y el resultado es el mismo de la rama DC y la PC cliente:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Actualización 2

  1. Se eliminaron las entradas de DNS, por lo que cualquier contenedor de _sites con TestSite solo tiene registros SRV para los Branch-DC01cuales después del reinicio del cliente no ayudó.

  2. nltest en el cliente:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com

    Nombre del bosque: dominio.com

    Nombre del sitio de cc: oficina

    Nuestro nombre del sitio: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN

    DNS_FOREST FULL_SECRET WS

    El comando se completó con éxito`

domain-name-system active-directory windows-server-2012 windows hip
fuente
Primero, verifique en la rama de la PC y vea qué DC realmente lo autenticó. De una carrera línea de cmd: echo %LOGONSERVER%. Cuando dice sitio, supongo que se refiere a ADS & S y que tiene sitios separados para su sucursal.
TheCleaner
@TheCleaner echo %LOGONSERVER%regresó con un nombre de host de uno de los DC principales del sitio principal, sí, tengo un sitio separado con subred especificada y debajo TestSite-> ServersPuedo ver el DC de prueba como la única entrada
hip
¿Lo has probado más de una vez? Pregunto porque con un RODC utiliza información de inicio de sesión en caché, por lo que si es la única / primera vez, reenvía la solicitud de autenticación a un DC normal. Ah, y los otros DC, ¿son al menos 2008?
TheCleaner
Acabo de reiniciar la PC cliente y me desconecté / volví a iniciar sesión, cada vez que% LOGONSERVER% es uno de los DC de la oficina principal. Mirando el DNS, parece que se generaron registros NS para todos los DC (sucursal + oficina) para la zona de búsqueda inversa de la sucursal, si eso es de alguna ayuda. Intenté eliminar todos menos la rama DC de esa zona, pero solo se volvieron a generar ...
hip
@TheCleaner olvidó responder sobre la versión: los DC principales son 2x Server 2008 R2 + 1x Server 2012
hip

Respuestas:

0

Es perfectamente normal que un cliente en un sitio reciba una resolución DNS para el dominio en un DC en un sitio diferente. Esto se debe a todos los registros A "(igual que el padre)" para la zona de búsqueda directa de dominio. Cada DC se incluirá en la lista de todos contra todos para el dominio.

No es el más ideal para la eficiencia de resolución de DNS (y puede causar problemas si algunos sitios no están disponibles), pero puede configurar cosas como DNS geoetiquetado para mitigarlo y es un comportamiento perfectamente normal. Una vez que el cliente obtiene un DC, cualquier DC, para responder, ese DC utilizará la configuración de Sitios y Zonas para buscar un DC en su zona adecuada e informar al cliente para dirigir más solicitudes contra ese DC. Una vez que un cliente inicia sesión, almacena en caché su sitio y utiliza principalmente el% LOGONSERVER% para transacciones futuras.

duct_tape_coder
fuente