web-dev-qa-db-ja.com

GPOが機能するには、DNSをドメインコントローラーにポイントする必要がありますか?

私は決して訓練を受けたシステム管理者ではなく、外出先で学習していると言って、この前置きをしましょう。私の質問に対する答えが明白であるが、Google/Serverfault検索で正確な答えを見つけることができなかった場合はお詫びします。

ですから、私は自分が働いている約200台のWindowsコンピューターの管理を担当しています。最近、Active Directoryを使用して、すべてのコンピューターに簡単に変更を加えることができることを学びました。これはすばらしいことです。そこで、ドメインコントローラーをセットアップしました そして.vbsスクリプトを見つけました コンピューターをドメインに参加させます。完璧です。

私が設定したGPOを除いて、コンピューターにプッシュダウンされていません。コンピューターで「gpupdate/force」を実行しようとすると、次のエラーが表示されます

グループポリシーの処理に失敗しました。 Windowsは、このユーザーまたはコンピューターの新しいグループポリシー設定を取得しようとしました。エラーコードと説明については、詳細タブをご覧ください。 Windowsは、次の更新サイクルでこの操作を自動的に再試行します。ドメインに参加しているコンピューターは、新しいグループポリシーオブジェクトと設定を検出するために、適切な名前解決とドメインコントローラーへのネットワーク接続を備えている必要があります。グループポリシーが成功すると、イベントがログに記録されます。

ユーザーポリシーの更新が正常に完了しました。

障害を診断するには、イベントログを確認するか、コマンドラインからGPRESULT/H GPReport.htmlを実行して、グループポリシーの結果に関する情報にアクセスします。

もう少し調べてみると、クライアントのDNSをドメインコントローラーに向けると、更新が行われるようです(nsloookup {domain.com}を実行すると、権限のない回答が返されます)。さて、DNSをDCに向けることは、ADでは必須です。しかし、私が見つけたチュートリアルでこれが言及されているのを見たことがありません。これは本当に奇妙です。それで、本当に必要ですか?( これは私がこれに見つけた最も近い答えです これはイエスを示唆しているようですが、本当に他の方法はありませんか?nslookupに信頼できる答えを返すことはできませんか?)

必要に応じて、各コンピューターに物理的にアクセスせずに、ドメイン内のすべてのコンピューターのDNSを更新する方法はありますか?

これはまた別の問題を引き起こします。何らかの理由でDCの現在のIPを変更する必要がある場合はどうなりますか。その後、すべてのコンピューターでDNSを再度更新する必要がありますか?

お時間をいただきありがとうございます。アドバイスをお待ちしております。

1
Manoj Jain

私のお気に入りの1つは、「DNSが答えであり、質問は重要ではありません」です。

グループポリシーはFQDN\Sysvol\FQDN\Policiesフォルダーに保存されます-DNSソリューションからFQDNを解決できない場合、GPO処理は失敗します。

Active DirectoryドメインにはDNSが必要です。AD統合DNS(ドメインコントローラーにDNSサーバーの役割をインストールする)である必要はありませんが、管理が簡単です。これを行うと、すべてのドメインコンピューターをDNSのドメインコントローラーにポイントして実行できます。

ドメインコントローラーには単一の静的IPが必要です。これはベストプラクティスとしてリストされており、サービスリクエストに対してオンラインであるという性質上、通常はすべてのサーバーが静的IPを使用します。これを念頭に置いて、IPは変更されるべきではありません。 IPが変更された場合は、メンバーコンピューターのDNSサーバーのIPをプログラムで変更するためのスクリプトがたくさんあります。検索してください。

コンピューターのvbsスクリプトへの参加はどのように機能しますか?参加するには、ドメイン名を解決するためにDNSが必要です。スクリプトが機能する場合、コンピューターは既にドメインを指すDNSサーバーを指しているので、グループポリシーの処理は問題ないはずです。警告:エラーの発生を減らすために「オフラインドメイン参加」を組み込むというMicrosoftの天才的な決定のおかげで、実際には参加せずに「成功した」参加を得ることができます。これをテストする最良の方法は、実際のドメインアカウントでログインすることです。 「ドメインに到達できません」という行に沿ってエラーが発生した場合は、DNSの問題が残っている可能性があります。

3
spacenomyous

「GPOが機能するためにドメインコントローラーを指すDNSが必要ですか?」に対する短い答えはイエスです。spacenomyousはそこに答えを持っています。

ADとDNSを初めて使用する場合は、DHCPを使用することもできます。DHCPは、IPアドレスと関連する設定をクライアントに動的に付与します。その役割をDC(または他のサーバー))に追加してから、クライアントがDHCPを使用してネットワーク設定を更新するように指示します。DNSエントリを含めて、すべてが内部DNSを指すようにします。

どうしても各コンピューターに設定する必要がある場合は、自動化するPowershellスクリプトを学習する必要があります。 .vbsスクリプトを実行できる場合は、次のリンクを参照して、クライアントを更新する方法を理解できます。

https://www.pdq.com/blog/using-powershell-to-set-static-and-dhcp-ip-addresses-part-1/

2
CC.