web-dev-qa-db-ja.com

外部DNSを備えたWindowsAD

外部DNSサーバーを使用するようにWindowsADを構成するにはどうすればよいですか? DNSを管理するためのツールがあります。認証にWindowsADを使用しようとしています。サーバーをドメインに参加させるには、サーバーをDNSとしてADサーバーにポイントする必要があります。ただし、そうすると、DNSのADサーバーを指すサーバーは、環境内のホスト名を解決できなくなります。

環境全体のログインドメインにexample.comを使用しています。すべてのサーバーはservername.subdomain.example.comです。

Servername1.subdomain.example.comをドメインに参加させると、servername2.subdomain.example.comのDNSエントリを手動で追加しない限り、servername2.subdomain.example.comを解決できなくなります。ADサーバーでDNSを実行します。

すべてに対して2つのDNSエントリを作成する必要はないため、ADサーバーがDNSの外部DNSサーバーを確認する必要があります。

Subdomain.example.comのフォワードルックアップスタブゾーンを作成しようとしましたが、「ゾーンをロードするDNSサーバーを指定してください」に到達し、DNSサーバーに入ると、検証しようとするとエラーが発生します。不明なエラーが発生しました」

既存のexample.comドメインの下に新しい委任を追加しようとすると、DNSサーバーを追加するときに同じエラーが発生します。

確かに、私はWindows管理者ではなく、ADの理解は表面的なものですが、私が求めているのは比較的単純なはずです...ドメインからのホスト名の再帰的なルックアップを探しているだけです。コントローラ。

正しい方向へのポインタは大歓迎です。

windowsdomain-name-systemactive-directory
1
xalusife

ただし、そうすると、DNSのADサーバーを指すサーバーは、環境内のホスト名を解決できなくなります。

それが問題である場合は、ADで目的のDNSサーバーへのフォワーダーを設定してみませんか? ADサーバーでDNSmmcスナップインを開き、サーバー名(notゾーンまたは任意のフォルダー)を右クリックして、[プロパティ]を選択します。これにより、「フォワーダー」というラベルの付いたタブを含むダイアログウィンドウが開き、目的のDNSサーバーのIPアドレスを追加して、検索順序を設定できます。

1
Joel Coel

ADがそれを操作できるようにするために依存 DNSシステム上。時間の経過や特定のイベントによって変化するレコードがいくつかあります。これらの記録は、ADから維持することは事実上不可能です(または非常に困難です)。これが、「デフォルトのクリック、クリック」インストールでADがDNSサーバーとして機能し始め、それを機能させるには、これらのDNS(ADメンバー/ -s /)をポイントする必要がある理由です。同じドメインを他の目的にも使用したい場合は、次のシナリオのいずれかを選択できます(ADプロビジョニング/新しいADドメインのセットアップで選択されます)。

  • ドメインのDNSレコードをADのDNSに保持し、リクエストを転送します

  • 外部DNSにDNSレコードを保持するただし AD する必要があります外部DNSサーバーを使用するように構成し、ADは外部ソースのゾーンの動的更新を許可する必要があります

実際には、ドメインと外部DNSサーバーを持ち、ADをドメインのマスターとして「考え」続けることはできません。その場合、ゾーンはあなたが尋ねている場所に基づいて一貫性がなくなります-すべてのDNSサーバーは彼らがすべてを知っていると思いますが、情報の一部しか持っていません...

動作しないシナリオ

example.com(これまでのところADなし)のDNSが機能しています。同じDNSゾーン(example.com)でADを使用することを決定し、「デフォルトクリック」インストールを実行します(ADがドメインの存在を確認できないと仮定します)インストール)。

  • 元のDNSサーバーはADについて何も知りません

  • ADはそれがDNSゾーンを維持していると考えており、example.comドメインの残りの部分については何も知りません

    • pC /サーバーをドメインに接続しないとロック「ADビュー」に接続します。そうしないと、ADに関する情報がありません。

    • aDで生成/作成されたDNSレコードは、example.comの「メイン」DNSに自動的に伝播されません。

作業シナリオA

example.com(これまでのところADなし)のDNSが機能しています。同じDNSゾーン(example.com)でADを使用することを決定します。 ADを10.20.30.1にインストールするとします。

  • (ADインストール前)現在のDNSサーバーでexample..comゾーンの動的更新を許可10.20.30.1(新しくインストールされたADサーバーのIP)

  • ADは必要なすべてのDNS構造を外部DNSサーバーにプッシュし、それを時間内に維持します(時間内にいくつかの動的更新が表示されます;-))。

  • すべてが現在のDNSゾーンに対して透過的に実行されます。変更はADによって直接行われるため、システムを他の現在のDNSサーバーにポイントする必要はありません。

オプションで分離したい場合は、「サービスサブドメイン」を追加ゾーンとして準備できます(ここでは、長く保つために深くはしませんが、それほど技術的ではありません)繁雑 ;-) )。 ADをインストールする前に実行することをお勧めします。または、ゾーンをフリーズして、別のゾーンファイル(サブドメイン)に手動で移動することもできます。

作業シナリオB

example.comのDNSが機能しています。 DNSゾーンのサブドメイン(subdomain.example.com)でADを使用することを決定します。 ADを10.20.30.1にインストールするとします。

  • aDはsubdomain.example.comのDNSサーバーとして機能します。

    • example.comが「公式」に公開されている/既知の(そしてあなたの!)ドメインである場合、AD側で完了します

    • 一部のローカルドメインのみを使用している場合は、ADをセットアップしたら、example.com(使用している最も高いローカルゾーン-低い方のゾーンは「通常」を使用して解決されます)のフォワードゾーンを追加する必要があります。 。comネームサーバー(example.comの場合)を介して「公式に」解決できないため、現在のDNSサーバーを指す「DNS操作) )。

  • 現在のDNSサーバー(この場合は処理example.com)で、サブドメインの委任レコードを追加して、それを探す場所を知る必要があります(新しく追加されたAD)

    subdomain.example.com. IN NS ad1.subdomain.example.com.
ad1.subdomain.example.com. IN A 10.20.30.1
0
Kamil J