ブランチオフィスのDNSおよびActive Directory構成


8

現在、オンサイトサービスを提供していない支社があり、それを変更したいと考えています。最大の目標は、いくつかのファイルサーバーをセットアップすることですが、より高速なログインとDNS解決も歓迎されます。

別のサブネット/ VLAN上のいくつかのVMでいくつかの実験を行っているので、フォレストとドメインがあるとしましょうdomain.com

  1. Officeサブネット192.168.1/24と単一のプライマリDNSゾーンを持つ単一のサイトがありますdomain.com
  2. TestSiteサブネットを持つセカンダリサイトを追加しました192.168.100/24
  3. 192.168.100DNSに逆引き参照ゾーンを作成しました
  4. Branch-DC01IPアドレスを使用して、Server 2012を実行するVM を作成しました192.168.100.1
  5. domain.comメンバーとして追加
  6. AD DS読み取り専用ドメインコントローラー(RODC)としてインストールTestSite
  7. のメインDNSサーバーBranch-DC01.domain.com127.0.0.1
  8. 新しいサーバーのDHCPスコープをセットアップし、常にDNSを更新するようにDHCPを構成する
  9. Branch-PC01Windows 8を実行するVMを作成して追加domain.com
  10. Branch-PC01192.168.100.20DHCP、DNSサーバーからのIPアドレスを取得しましたが、192.168.100.1正引きゾーンにdomain.com存在するが逆引きゾーンにはないメンバーのエントリ(重要?)
  11. 上でBranch-PC01実行nslookup domain.com-結果、メインのIPアドレスを使用して戻ってきたDCsからOfficeサイト(192.168.1サブネット)

今、これは私の心の中で正しくありません-それは戻るべきではありません192.168.100.1か?それとも、コンセプト全体を誤解していますか?そして、ログオンはどのように速くなるはずですか?

別のDNSゾーンが必要ですか(必要でない限り、作成したくないサブドメインがない場合はどのように機能しますか)?

私が指摘できるアイデアや記事は素晴らしいです。私は多数のTechNet記事を読みましたが、賢くはありません。

ありがとう

更新

@TheCleanerと@ charleswj81に感謝します。

私はnltestを試したところ、ブランチDCとクライアントPCの結果は同じです。

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

アップデート2

  1. DNSエントリをクリーンアップしたため、TestSiteを使用する_sitesコンテナにはSRVレコードのみがBranch-DC01あり、クライアントの再起動後は役に立ちませんでした。
  2. クライアントのnltest:

    `U:> nltest /dsgetdc:domain.com

           DC: \\DC01.domain.com
    
      Address: \\192.168.1.3
    
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
    
     Dom Name: domain.com
    

    フォレスト名:domain.com

    Dcサイト名:Office

    私たちのサイト名:TestSite

        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
    

    DNS_FOREST FULL_SECRET WS

    コマンドは正常に完了しました `


まず、ブランチPCを確認して、どのDCが実際に認証したかを確認します。コマンドラインから次を実行しますecho %LOGONSERVER%。あなたがサイトと言うとき、私はあなたがADS&Sを意味していて、あなたのブランチのためにそこに別々のサイトがあると思いますか?
TheCleaner 2013年

@TheCleaner echo %LOGONSERVER%は、メインサイトからメインDCの1つのホスト名で戻ってきました。はい、サブネットが指定された別のサイトがありますTestSite-> ServersテストDCを唯一のエントリとして表示できます
hyp

複数回テストしましたか?RODCではキャッシュされたログイン情報を使用するので、これが唯一/初めての場合、認証リクエストを通常のDCに転送するので、私は尋ねます。ああ、他のDCは、少なくとも2008年ですか?
TheCleaner 2013年

%LOGONSERVER%がメインオフィスDCの1つになるたびに、クライアントPCを再起動してログアウト/ログインし直しました。DNSを見ると、ブランチの逆引き参照ゾーンのすべてのDC(ブランチ+オフィス)に対してNSレコードが生成されているように見えます。そのゾーンからブランチDCを除くすべてを削除しようとしましたが、それらは再び生成されます...
hyp

@TheCleanerはバージョンについての回答を忘れていました-メインDCは2x Server 2008 R2 + 1x Server 2012
hyp

回答:


0

あるサイトのクライアントが、別のサイトのDCに対するドメインのDNS解決を受け取るのは、まったく正常です。これは、ドメインの前方参照ゾーンのすべての「(親と同じ)」Aレコードが原因です。すべてのDCがドメインのラウンドロビンとしてリストされます。

これはDNS解決の効率には最適ではありませんが(一部のサイトが利用できない場合に問題が発生する可能性があります)、ジオタグ付きDNSなどを設定して軽減することができ、これは完全に正常な動作です。クライアントがDC(任意のDC)を取得して応答すると、そのDCはサイトとゾーンの構成を使用して、適切なゾーンでDCをフェッチし、そのDCに対してさらに要求を送信するようにクライアントに通知します。クライアントがログオンすると、クライアントはサイトをキャッシュし、ほとんどの場合%LOGONSERVER%を将来のトランザクションに利用します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.