Active Directoryは、適切に構成され機能するDNSインフラストラクチャに依存しています。Active Directoryに問題がある場合は、DNSに問題がある可能性があります。最初に確認する必要があるのはDNSです。次に確認する必要があるのはDNSです。3番目に確認する必要があるのはDNSです。
DNSとは正確には何ですか?
これは専門家向けのサイトですので、少なくとも素晴らしいウィキペディアの記事を読んだと思います。つまり、DNSでは、名前でデバイスを検索することでIPアドレスを見つけることができます。インターネットが私たちが知っているように機能することは非常に重要であり、最小のLANを除くすべてで実行されます。
DNSは、最も基本的なレベルで、3つの基本的な部分に分けられます。
DNSサーバー:これらは、担当するすべてのクライアントのレコードを保持するサーバーです。Active Directoryでは、ドメインコントローラーでDNSサーバーの役割を実行します。
ゾーン:ゾーンのコピーはサーバーによって保持されます。という名前のADがある場合ad.example.com、DNSがインストールされているドメインコントローラ上にという名前のゾーンがありますad.example.com。という名前のコンピューターがcomputerあり、そのDNSサーバーに登録されている場合はcomputer、in という名前のDNSレコードを作成ad.example.comし、完全修飾ドメイン名(FQDN)を介してそのコンピューターにアクセスできます。computer.ad.example.com
レコード:前述したように、ゾーンにはレコードが保持されます。レコードは、コンピューターまたはリソースを特定のIPアドレスにマップします。最も一般的な種類のレコードは、ホスト名とIPアドレスを含むAレコードです。2番目に一般的なのはCNAMEレコードです。CNAMEには、ホスト名と別のホスト名が含まれます。hostname1を検索すると、別の検索が実行され、hostname2のアドレスが返されます。これは、Webサーバーやファイル共有などのリソースを隠す場合に役立ちます。CNAMEがintranet.ad.example.comあり、その背後のサーバーが変更された場合、誰もが知っている名前を引き続き使用でき、新しいサーバーを指すようにCNAMEレコードを更新するだけです。便利ですか?
わかりました、これはActive Directoryにどのように関係しますか?
ドメインの最初のドメインコントローラにActive DirectoryとDNSサーバーの役割をインストールすると、ドメインの2つの前方参照ゾーンが自動的に作成されます。ADドメインがad.example.com上記の例のようになっている場合(Active Directoryのドメイン名として「example.com」のみを使用しないでください)、ad.example.comおよびのゾーンがあり_msdcs.ad.example.comます。
これらのゾーンは何をしますか?素晴らしい質問!_msdcsゾーンから始めましょう。クライアントコンピューターがドメインコントローラーを見つけるために必要なすべてのレコードを保持します。ADサイトを見つけるためのレコードが含まれています。さまざまなFSMO役割所有者のレコードがあります。このオプションのサービスを実行すると、KMSサーバーのレコードも保持します。このゾーンが存在しない場合、ワークステーションまたはサーバーにログオンできません。
ad.example.comゾーンは何を保持していますか?クライアントコンピューター、メンバーサーバー、およびドメインコントローラーのAレコードのすべてのレコードを保持します。なぜこのゾーンが重要なのですか?ワークステーションとサーバーがネットワーク上で互いに通信できるようにします。このゾーンが存在しなかった場合は、おそらくログインできますが、インターネットを閲覧する以外に多くのことを行うことはできません。
これらのゾーンでレコードを取得するにはどうすればよいですか?
幸いなことに、それは簡単です。の間dcpromoにDNSサーバー設定をインストールして構成するSecure Updates Only場合、選択肢があれば許可することを選択する必要があります。これは、既知のドメインに参加しているPCのみがレコードを作成/更新できることを意味します。
少しバックアップしましょう。ゾーンがレコードを取得できる方法はいくつかあります。
DNSサーバーを使用するように構成されたワークステーションによって自動的に追加されます。これは最も一般的であり、ほとんどのシナリオで「セキュアな更新のみ」と併用する必要があります。この方法を使用したくない場合もありますが、この回答の知識が必要な場合は、これがその方法です。既定では、Windowsワークステーションまたはサーバーは、24時間ごとに、またはネットワークアダプターが DHCPを介してまたは静的に割り当てられたIPアドレスを取得すると、独自のレコードを更新します。
手動でレコードを作成します。これは、CNAMEまたは他のタイプのレコードを作成する必要がある場合、または信頼できるADコンピューター(おそらくクライアントに解決させたいLinuxまたはOS Xサーバー)にないAレコードが必要な場合に発生する可能性があります名前で。
リースが配布されると、DHCPがDNSを更新するようにします。これを行うには、クライアントに代わってレコードを更新し、DHCPサーバーをDNSUpdateProxy ADグループに追加するようにDHCPを構成します。ゾーン中毒の可能性があるため、これはあまり良い考えではありません。ゾーンポイズニング(またはDNSポイズニング)は、クライアントコンピューターが悪意のあるレコードでゾーンを更新し、ネットワーク上の別のコンピューターになりすまそうとするときに発生します。これを保護する方法はありますが、その用途はありますが、わからない場合はそのままにしておく方が良いでしょう。
それで、軌道に乗せることができなくなりました。安全な更新のみを許可するようにAD DNSサーバーを構成しました。インフラストラクチャが動き続けているので、大量の重複レコードがあることに気づきました!これについてどうしますか?
DNS清掃
この記事は必ずお読みください。清掃のために構成する必要があるベストプラクティスと設定について詳しく説明します。Windows Server 2003用ですが、それでも適用可能です。それを読んで。
清掃は、上記の重複レコードの問題に対する答えです。192.168.1.100のIPを取得するコンピューターがあると想像してください。そのアドレスのAレコードを登録します。次に、長時間電源がオフになったと想像してください。再びオンになると、そのアドレスは別のマシンに取得されるため、になり192.168.1.120ます。現在、両方のレコードがあります。
ゾーンを清掃する場合、これは問題になりません。一定の間隔が経過すると、古いレコードは削除され、大丈夫です。1日間の間隔を使用するなど、誤ってすべてを清掃しないようにしてください。ADはこれらのレコードに依存していることを忘れないでください。清掃を明確に構成しますが、上記の記事で概説したように、責任を持って行います。
これで、DNSとActive Directoryとの統合方法の基本的な理解ができました。今後少しずつ追加していきますが、自分の作品も自由に追加してください。