Configuração de DNS e Active Directory para uma filial

8

Temos uma filial sem serviços no local no momento e gostaríamos de mudar isso. O maior objetivo é configurar alguns servidores de arquivos, mas logins mais rápidos e resolução de DNS também serão bem-vindos.

Estou fazendo alguns experimentos com algumas VMs em uma sub-rede / VLAN separada, então digamos que tenho floresta e domínio domain.com:

  1. Há um único site Officecom uma sub-rede 192.168.1/24e uma única zona DNS Primáriadomain.com
  2. Adicionado um site secundário TestSitecom uma sub-rede192.168.100/24
  3. 192.168.100Zona de pesquisa reversa criada no DNS
  4. Criou uma VM Branch-DC01executando o Server 2012, com endereço IP192.168.100.1
  5. Adicionado domain.comcomo membro
  6. Instalado AD DScomo um controlador de domínio somente leitura (RODC) noTestSite
  7. O DNSservidor principal para Branch-DC01.domain.comé127.0.0.1
  8. Configurar o escopo do DHCP para o novo servidor e configurado para o DHCP sempre atualizar o DNS
  9. Criou a Branch-PC01VM executando o Windows 8 e foi adicionada aodomain.com
  10. Branch-PC01obteve o endereço IP 192.168.100.20do DHCP, servidor DNS 192.168.100.1, entrada do membro na zona de pesquisa direta domain.compresente, mas não na zona de pesquisa inversa (significativo?)
  11. Em Branch-PC01execução nslookup domain.com- o resultado voltou com os endereços IP do principal DCsdo Officesite ( 192.168.1sub-rede)

Agora, isso não está certo em minha mente - não deveria voltar 192.168.100.1? Ou estou entendendo mal todo o conceito - e como os logons devem ser mais rápidos?

Preciso de uma zona DNS separada (como isso funcionaria sem um subdomínio que eu não quero criar, a menos que seja necessário)?

Quaisquer idéias / artigos que eu possa apontar seriam ótimos; Eu li vários artigos do TechNet e não sou o mais sábio.

obrigado

Atualizar

Muito obrigado a @TheCleaner e @ charleswj81, seus esforços são apreciados.

Eu apenas tentei nltest e o resultado é o mesmo da filial DC e PC cliente:

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

Atualização 2

  1. Entradas DNS limpas para que quaisquer contêineres _sites com TestSite possuam apenas registros SRV para os Branch-DC01quais após a reinicialização do cliente não ajudaram.

  2. nltest no cliente:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com

    Nome da floresta: domain.com

    Nome do Site Dc: Escritório

    Nome do Site: TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN

    DNS_FOREST FULL_SECRET WS

    O comando foi concluído com sucesso`

domain-name-system active-directory windows-server-2012 windows hyp
fonte
Primeiro, verifique o PC da filial e veja qual controlador de domínio realmente o autenticou. A partir de uma linha de execução cmd: echo %LOGONSERVER%. Quando você diz site, suponho que você queira dizer ADS & S e que você tem sites separados para sua filial?
TheCleaner
@TheCleaner echo %LOGONSERVER%voltou com um nome de host de um dos principais DCs do site principal, sim, eu tenho um site separado com sub-rede especificada e sob TestSite-> ServersEu posso ver o teste DC como a entrada única
hyp
Você já testou mais de uma vez? Eu pergunto porque, com um RODC, ele usa informações de login em cache, portanto, se esta é a única / primeira vez que encaminha a solicitação de autenticação para um controlador de domínio normal. Ah, e os outros CDs, eles são pelo menos 2008?
TheCleaner
Acabei de reiniciar o PC cliente e efetue logout / logon sempre que o% LOGONSERVER% for um dos controladores principais do escritório. Observando o DNS, parece que os registros NS foram gerados para todos os controladores de domínio (filial + escritório) da zona de pesquisa inversa da filial - se isso é de alguma ajuda? Tentei apagar todos, mas o ramo DC daquela zona, mas eles só são geradas de novo ...
hyp
@TheCleaner esqueceu de responder sobre a versão - os principais DCs são 2x Server 2008 R2 + 1x Server 2012
hyp

Respostas:

0

É perfeitamente normal que um cliente em um site receba resolução DNS do domínio para um controlador de domínio em outro site. Isso ocorre devido a todos os registros "(iguais aos pais)" A da zona de pesquisa direta do domínio. Todo controlador de domínio será listado como round robin para o domínio.

Não é o ideal para a eficiência da resolução de DNS (e pode causar problemas se alguns sites não estiverem disponíveis), mas você pode configurar coisas como DNS com marcação geográfica para atenuá-lo e é um comportamento perfeitamente normal. Depois que o cliente obtém um controlador de domínio, qualquer controlador de domínio, para responder, esse controlador de domínio utilizará a configuração de sites e zonas para buscar um controlador de domínio em sua zona adequada e informar o cliente a direcionar solicitações adicionais contra esse controlador de domínio. Depois que um cliente faz logon, ele armazena em cache o site e utiliza principalmente o% LOGONSERVER% para transações futuras.

duct_tape_coder
fonte