"Официальная практика" в настройке доменной среды
Вот наш сценарий.
У нас есть две машины, машина A - это машина Windows Server 2003 с пакетом обновления 2 (SP2), которая настроена в качестве контроллера домена. Компьютер B - это компьютер под управлением Windows XP с пакетом обновления 3 (SP3), который должен быть подключен к контроллеру домена, который является компьютером A. Обе машины имеют одну сетевую карту.
Оба компьютера подключены к нашей корпоративной локальной сети. Поскольку в нашей корпоративной локальной сети включен DHCP, обоим компьютерам автоматически были назначены их динамические IP-адреса и DNS-серверы (для обеих сетевых карт было установлено "Получить IP-адрес автоматически" и "Получить адрес DNS-сервера автоматически")
Машина B была присоединена к домену (ian.sd.local - Машина A). Машина была успешно присоединена к домену (подтверждена приветственным сообщением) после запроса учетной записи администратора домена. Затем он попросил перезагрузку.
После перезагрузки мы вошли в домен, используя учетную запись администратора домена. Все прошло нормально. Затем мы создали новую папку, а затем поделились ею, чтобы проверить, можем ли мы получить учетные записи с контроллера домена, мы не можем. На вкладке "Общий доступ" -> "Разрешения" -> "Добавить" -> "Выбрать пользователей или группы", нажав кнопку "Местоположения", контроллер домена не будет отображаться.
Другое дело, не удастся пропинговать контроллер домена с клиентского компьютера, используя FQDN. Пинговать его, используя только имя машины, будет успешно.
Я как-то знаю, в чем проблема. Поскольку клиентский компьютер настроен на автоматическое получение адреса DNS-сервера, наша корпоративная локальная сеть предоставила нам собственный "корпоративный DNS-сервер" (используемый нашим корпоративным контроллером домена), в результате чего клиентский компьютер не может "разрешить" полное доменное имя, Однако я все еще не уверен, почему "контроллер домена" не может быть найден в диалоговом окне "Выбор пользователей или групп".
В любом случае, жесткое кодирование IP-адреса контроллера домена в качестве предпочтительного первичного DNS-сервера клиента устраняет проблему.
Мой вопрос заключается в том, существует ли "официальный" документ Microsoft, в котором пользователю предлагается указать IP-адрес контроллера домена в качестве предпочтительного основного DNS-сервера клиента? Я спрашиваю, потому что тестер в нашей компании использовал вышеуказанную настройку для установки одного из наших программ, и из-за этого происходит сбой. Мне нужно доказать ему, что это проблема конфигурации, а не проблема с программным обеспечением.
Спасибо!
1 ответ
DNS имеет решающее значение для правильной работы Active Directory; В любой документации Microsoft об этом достаточно ясно сказано.
Фактически нет необходимости, чтобы ваш DNS-сервер был контроллером домена или даже машиной Windows; но DNS-сервер (ы), которые используют компьютеры, входящие в домен (включая контроллеры домена!), должны быть полномочными для домена; они также обязаны поддерживать SRV записи, и должны разрешать динамические обновления DNS (если вы не хотите очень большие головные боли, управляющие ими).
Вот лучшие рекомендации по настройке компьютеров-членов:
http://support.microsoft.com/kb/825036
Эти ссылки о DNS и Active Directory:
http://support.microsoft.com/kb/291382/en-us
http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx
Это руководство по использованию DNS-серверов сторонних разработчиков (полезно для понимания того, что на самом деле происходит за кулисами):
http://technet.microsoft.com/en-us/library/dd316373.aspx
Хотя, конечно, все может стать более сложным в зависимости от конфигурации сети и домена, лучшие практики для DNS в среде AD довольно просты и сводятся к двум основным правилам:
- Ваши DC должны быть DNS-серверами.
- Пусть все доменные компьютеры (включая контроллеры домена) используют их и только их.