Вопрос: Доменное имя не разрешает DC


Я столкнулся с головоломкой:

Моя компания имеет несколько филиалов, подсети каждой ветки определены на их собственном сайте, и каждая ветвь имеет свой собственный контроллер домена только для чтения.

Тем не менее, при вызове имени домена (скажем, "example.com») вместо того, чтобы разрешать RODC сайта, он решает один из основных контроллеров домена в головном офисе.

AFAIK, когда компьютер на сайте пытается разрешить само имя домена (например, при попытке доступа \\example.com\netlogon), он должен разрешить контроллер домена на сайте.

Итак, почему я вижу это поведение здесь?

Дополнительная информация:

  • Основные DC в головном офисе - это сочетание 2008 и 2008 R2
  • RODC на филиалах - 2008 R2

Любое предложение будет полезно. ТИА.


Больше информации:

Проблема заключалась в том, что связь между головным офисом и филиалами WAN очень медленная (пропускная способность стоит целое состояние в моей стране). Есть несколько больших файлов, которые мы реплицируем через \\example.com\netlogon, и потому, что некоторые компьютеры филиалов example.com в IP-адрес головного офиса DC, они вытаскивают эти файлы через медленную ссылку WAN вместо доступа к реплике на ветвях RODC.


5
2018-05-23 11:53


Источник


Почему вы ожидаете, что поведение будет отличаться и какие проблемы вызывают? - uSlackr
Какие DNS-серверы используют клиент (возможно, через DHCP)? Главный офис или местный сайт? - Jeremy
@uSlackr Я отредактировал мой вопрос, чтобы явно указать проблему. - pepoluan
@Jeremy Я проверил компьютер филиала, и, видимо, он использует их все (локальный RODC как 1-й сервер, центральный офис DC как 2-й сервер и т. Д.). - pepoluan
Подтвердите, что настроены сайты Active Directory, в основном слушайте два ответа ниже, они предоставили хорошую информацию :) - Jeremy


Ответы:


В нашем DNS все контроллеры домена перечислены в DNS как ourdomain.com. Я считаю, что это ожидаемое поведение. Если вы беспокоитесь о том, как обрабатываются логины, вы смотрите на неправильные записи DNS. Для описания того, как клиенты находят DC-сервера своего сайта, ознакомьтесь со следующей статьей.

http://technet.microsoft.com/en-us/library/cc978016.aspx

Если проблема заключается в местоположении DFS локального ресурса, вы можете взглянуть на этот поток: http://www.activedir.org/ListArchives/tabid/55/forumid/1/postid/35786/view/topic/Default.aspx


4
2018-05-23 12:16



Да, я прочитал эту статью. По сути, компьютеры филиалов должны выбирать локальный контроллер домена (т. Е. В той же подсети и / или сайте). Это не относится к разрешению DNS для самого FQDN? - pepoluan
Нет. Разрешение DNS - это собственный зверь. Но теперь вы можете говорить о разрешении DFS. - uSlackr
Я не понимаю ... вы имеете в виду, что клиенты решают \\fqdn иначе ping fqdn? - pepoluan


Как упоминал uSlacker, это может не отрицательно повлиять на работу клиентов Windows и некоторых функций, таких как ldap-связь. Это связано с тем, как работает внутренний локатор Windows dc, который, среди прочего, определяет приоритеты выбранных контроллеров домена по сайту.

Прямой поиск DNS в командной строке - это просто поиск DNS. Если контроллер домена зарегистрировал запись A в доменной зоне, она может быть возвращена в ответ на запрос DNS. Вы можете проверить свою зону DNS и подтвердить, какие контроллеры домена зарегистрировали запись A.

Если захват пакета обнаруживает, что компьютеры ветвления используют контроллер домена на другом сайте, может быть из-за того, что он обычно настраивает контроллеры домена на говорящих сайтах (филиалах) для использования мнемоники DNS, которые инструктируют контроллер домена, который DNS записывает избегать регистрации. В больших каталогах на обычных контроллерах домена довольно часто не регистрировать запись A в своей зоне DNS. Если в филиале также нет сайта, связанного с его подсетью, это может объяснить сродство к контроллерам домена основного сайта.

Больше информации:

Как оптимизировать расположение контроллера домена, который находится за пределами сайта клиента
http://support.microsoft.com/kb/306602 


2
2018-05-23 13:22



Ну, подсети филиалов должным образом назначены на свои собственные сайты. Но спасибо за статью; Теперь я могу взглянуть на некоторые расплывчатые подсказки ... - pepoluan
Быстрый способ определить, к какому DC, с которым протестирован клиент, - запустить из командной строки следующее: echo% logonserver% - joeqwerty
@joeqwerty Спасибо! Это очень поможет. - pepoluan
Рад помочь... - joeqwerty