Инструменты пользователя
**Это старая версия документа!**
DNS и Active Directory. Я думаю каждый знает, что такое система доменных имен (Domain Name System, DNS). Но я хочу связать в одно целое, DNS и Active Directory и рассказать о их работе и связи. Так вот DNS — это распределенная база данных, разрешающая DNS- имена узлов в IP-адреса. Что касается Active Directory, DNS это сервис поиска, дающий возможность одним компьютерам находить другие компьютеры, а также важные сетевые службы.
Простая схема работы Рис.1
В сетях Active Directory служба DNS имеет элементы, называемые SRV-записями (Service Resource Records), которые связаны с различными сетевыми службами. Они включают элементы для LDAP-протокола (Lightweight Directory Access Protocol, облегченный протокол доступа к сетевым каталогам), TCP-протокола (Transmission Control Protocol, протокол управления передачей) и Kerberos. Записи SRV в DNS указывают, как найти сервисы для различных протоколов. Вы можете определить SRV запись для своего домена, чтобы SIP прокси других доменов знали, как Вас найти.
Эти SRV помогают компьютерам в домене Active Directory находить серверы, которые играют роль контроллеров домена. В контроллере домена они могут получить листинг объектов групповой политики, обновить удостоверение Kerberos, найти ресурс и т. д. Когда DNS не работает соответствующим образом или неверно сконфигурирован, компьютеры не в состоянии использовать DNS, чтобы найти эту информацию. В этом случае групповая политика не сможет правильно работать; все корректировки и обновления прекратятся до тех пор, пока DNS снова не начнет нормально работать. Так что мой совет, если Вы хотите чтоб Ваши групповые политики отробатывали корректно, всегда правильно настраивайте DNS.
Продолжем дальше. DNS также используется при работе с распределенной файловой системой (Distributed File System, DFS). DFS используется для упрощения доступа и управления файлами, физически распределёнными по сети. При использовании файлы, распределённые по серверам, представляются находящимися в одном месте. Является компонентом Microsofta. DFS может использоваться в групповой политике для совместной работы с приложениями или другими ресурсами. Когда объект грукповой политики сконфигурирован таким образом, что для получения доступа к программному обеспечению настольный компьютер или пользователь адресуется к точке распространения DFS, для нахождения этих точек распространения компьютер должен использовать DNS. Если DNS не сконфигурирован соответствующим образом, компьютер никогда не найдет распределительный пункт DFS и программное обеспечение не будет установлено или обновлено.
Наконец, служба DNS важна для управления групповой политикой. Контроллеры домена — это компьютеры, которые хранят объекты групповой политики. Поэтому при управлении объекта групповой политики должен быть установлен контакт с контроллером домена. Если DNS работает неправильно, контроллер домена не может быть найден, и при попытке обновления или просмотра ОГП произойдет ошибка. Групповая политика запрашивает в Active Directory информацию об объектах групповой политики, местоположении пользователей и компьютеров, группах безопасности и другие сведения, необходимые для обработки групповой политики. Что касается AD и DNS позволю себе рассказать о том что говарит Microsoft: «Active Directory обеспечивает информационный архив и службы для того, чтобы сделать данные доступными пользователям и приложениям. Клиенты Active Directory посылают запросы контроллерам домена с помощью протокола LDAP (Lightweight Directory Access Protocol). Чтобы определить местонахождение контроллера домена, клиент Active Directory запрашивает службу DNS. Active Directory требует, чтобы служба DNS работала». Бывают случаи, когда групповая политика использует полностью определенное имя домена(FQDN) для его именования.
При этом различие между FQDN и обычным доменным, теми что не FQDN именем появляется при именовании доменов второго, третьего (и т. д.) уровня. Для получения FQDN надо указать в доменном имени домены более высокого уровня (saakovv является доменным именем, однако FQDN имя выглядит как saakovv.ivan.name.). Максимальный размер FQDN — 255 байт, с ограничением в 63 байта на каждое имя домена. И в те моменты когда групповая политика использует полностью определенное имя домена(FQDN) для его именования при попытке установить связь с доменом должно быть определено местонахождение контроллера домена, что требует работы DNS
Вместо вывода: Многие крупные компании такие как Microsoft, сообщают, что более 70% всех проблем, касающихся объектов групповой политики, связаны со службой доменных имен, DNS. Поэтому при возникновении неполадок с групповой политикой в первую очередь стоит подумать о DNS ;) С DNS может быть связано множество различных проблем. Постараюсь привести действия, которые следует предпринять для предотвращения проблем с DNS: 1.Убедитесь в том, что клиент имеет правильную конфигурацию IP-адреса. Если клиент не может связаться в DNS, объекты групповой политики не будут применяться. Можно запустить команду Ipconfig из командной строки, чтобы проверить IP-адрес. 2.Удостоверьтесь, что сервер DHCP имеет правильные конфигурации IP. Сюда относятся DNS-сервер, основной шлюз, имя домена и маска подсети. 3. Убедитесь в том, что клиент получает IP-информацию, если включен DHCP. Можно запустить команду Ipconfig /all, чтобы просмотреть всю относящуюся к IP информацию для данного компьютера. 4.Удостоверьтесь в том, что в DNS представлены правильные записи, как для клиента, так и для сервера (включая контроллеры домена). Здесь должна быть запись CNAME для всех компьютеров в сети (контроллеров домена, серверов и рабочих станций), и правильные SRV- записи для контроллеров домена. CNAME что это ? Записи канонических имен, или записи CNAME, связывают псевдоним с другим каноническим именем домена. В качестве значения записей CNAME всегда указывается доменное имя. Довольно часто записи CNAME используются для создания субдоменов. Кроме того, с их помощью можно настроить псевдоним по IP-адресу. Скорее всего, у вас будет запись CNAME, похожая на Рис.2
Значение TTL 86400 (это целые сутки, 24 часа) означает время жизни для каждой записи CNAME. Так же значение возможно поставить равным и 300 секундам. И как вы поняли, серверы имен в Интернете будут проверять, не обновились ли ваши записи DNS, через каждые 300 секунд. Таким образом, изменения записей DNS будут применяться значительно быстрее. Но тут есть один нюанс, который надо знать, любые изменения записей DNS будут вступать в силу только после истечении того времени которые было изначально. 5. Убедитесь в том, что в основных и дополнительных параметрах на всех компьютерах прописан нужный нам DNS-сервер. Без правильно сконфигурированного DNS-сервера SRV- запись контроллера домена не будет найдена, и групповая политика не будет применена. Не забываем про командочку Ipconfig /all. Не стоит забывать что, если служба DHCP управляется внешним маршрутизатором, получающим IP-адрес от поставщика услуг Интернета, скорее всего, этот маршрутизатор получает информацию DNS-сервера от поставщика услуг Интернета. В этом случае DHCP- сервер может настраивать клиентов с помощью DNS-сервера поставщика услуг Интернета, а не внутреннего DNS-сервера на базе Active Directory. Если это действительно так, все компьютеры, работающие под управлением Windows, расположенные в локальной сети, должны иметь ручные настройки DNS-сервера, который должен быть внутренним DNS- сервером. Внутренний DNS-сервер будет настроен на направление всех запросов, не предназначенных для внутреннего домена, на DNS-серверы поставщика услуг Интернета.
Ivan Saakov. При использовании материала http://technet.microsoft.com
Инструменты страницы
