web-dev-qa-db-ja.com

ローカルネットワークからドメインコントローラーを参照する方法

さまざまなホスティングプロバイダーに複数のサーバーが分散しています。学習、実験、そして最終的には本番の目的で、そのうちの1つをドメインコントローラーとして設定しました。

それはうまくいき、私たちのサービスのほとんどは現在ADを介して認証されており、これは私たちに大いに役立ちます。

ここで私がしたいのは、複数のサーバーのそれぞれにドメインコントローラーを表示させることで、複数のサーバーの認証を簡略化することです。このようにして、開発者はADから同じ資格情報を使用して複数のサーバーにログインできます(リモートデスクトップ)。

ドメインコントローラーを確認するように各サーバーを構成する必要があることはわかっています。

しかし、ドメインコントローラーをコンピューターに追加しようとすると、ドメインコントローラーのアドレスが有効で到達可能なインターネットサブドメイン(「ad.ourcompany.com」のように)であるにもかかわらず、ドメインコントローラーが見つかりません。

enter image description here

これは詳細なエラーメッセージです:

注:この情報は、ネットワーク管理者を対象としています。ネットワークの管理者でない場合は、ファイルC:\ Windows\debug\dcdiag.txtに記録されているこの情報を受け取ったことを管理者に通知してください。

ドメインad.ourcompany.comのActiveDirectoryドメインコントローラーを見つけるために使用されるサービスの場所(SRV)リソースレコードについてDNSが照会されたときに、次のエラーが発生しました。

エラーは「DNS名が存在しません」でした。 (エラーコード0x0000232B RCODE_NAME_ERROR)

クエリは_ldap._tcp.dc._msdcs.ad.ourcompany.comのSRVレコードに対するものでした

このエラーの一般的な原因は次のとおりです。

  • ADの検索に必要なDNS SRVレコードDCはDNSに登録されていません。これらのレコードは、AD DCがドメインに追加されます。ADDC=によって一定の間隔で更新されます。このコンピュータは、次のIPアドレスを持つDNSサーバーを使用するように構成されています。

    109.188.207.9

    109.188.207.10

  • 次のゾーンの1つ以上に、その子ゾーンへの委任が含まれていません。

    ad.ourcompany.com

    ourcompany.com com

    。 (ルートゾーン)

この問題の修正については、[ヘルプ]をクリックしてください。

何が足りないのですか?

私は経験豊富な開発者ですが、初心者のSysdaminが新しいものを試しています。

免責事項

セキュリティを維持するために、すべてのIPアドレスとドメイン/サブドメインが変更されました。万が一、個人情報が確認できる場合は、変更できるようにお知らせください。

active-directorysubdomaindomain-controller
2
Adriano Carneiro

神の愛のために、インターネット経由でアクセスできるドメインコントローラーを持っていません。それは大惨事を懇願しています。サイト間にサイト間VPNを設定し、ADが配置されているサブネット/サブドメインがVPN以外の方法でインターネット以外にアクセスできないようにする必要があります。

IPv4では、これは、ドメインコントローラー(および内部ネットワーク全体)に プライベートルーティングアドレス10.x.x.x192.168.x.xまたは172.16-31.x.xなど)が必要であることを意味します。 109のような公にルーティングされたオクテットで開始しないでください。

しないでくださいこれを機能させるためにファイアウォールに穴を開けてください。

6
HopelessN00b

手がかりはエラーメッセージにあります。ドメインに参加する予定のサーバーは、ADDNSゾーンを保持しているDNSサーバーをDNSサーバーとして使用する必要があります。いくつかのパブリックDNSサーバーを使用しているようですが、ADDNSゾーンを保持しているDNSサーバーではないと思います。

5
joeqwerty

joeqwertyが最適です。

PCがドメインに参加するために、SRVレコードを検索します。クライアントがDCと同じサイトにある場合は、クライアントのDNSを変更してDCを指すようにします。それ以外の場合は、以下の詳細に従います。

ad。ourcompany.comの広告がDCのホスト名だと思いますか?その場合は、広告を表示せずにドメインに参加してみてください。 part-ドメインのみを指定します。

サーバーに設定されているのはAレコードだけのようです。クライアントPCは最初に_ldap._tcp.dc._msdcs.ourcompany.comを探し、次にad.ourcompany.comをポイントする必要があります。 (またはyourdc.ad.ourcompany.com)

パブリックインターネットでアクセス可能なこのSRVレコードを作成すると、このエラーが解消されます。また、ADセットアップに必要な他の関連するSRVレコードについて、DCのDNSを確認してください。

ただし、セキュリティ上の理由から、クライアントPCのベースとなるサイトにローカルDNSサーバーをセットアップして、関連するSRVレコードを保持することをお勧めします。これにより、すべてのユーザーがこれらのレコードを利用できるわけではありません。

0
Robin Gill