Регистрация Войти
Рейтинг:0
avatar Server

Как заставить встроенный DNS Active Directory возвращать записи SRV только для определенных контроллеров домена в зависимости от подсети клиента?

флаг fr
Daniel Arkley

У меня есть несколько офисов, объединенных с помощью различных комбинаций IPsec VPN и сети MPLS. Большинство сайтов образуют ячеистую структуру с использованием VPN, но сайт B имеет только одну VPN IPsec для сайта A — сайт B не может связаться ни с одним из других сайтов (сайты C и D).

Сайты A, C и D имеют общий домен Active Directory, скажем, «companya.com». Контроллеры домена для companya.com расположены на всех трех сайтах и ​​работают под управлением Windows Server 2012 R2.

На сайте Б работает собственный домен Active Directory, скажем, «companyb.com». Контроллеры домена для companyb.com расположены исключительно на сайте B. Один работает под управлением Windows Server 2019, другой — под управлением Windows Server 2012 R2.

Мы установили двустороннее доверие между доменами AD companya.com и companyb.com. Это было достигнуто с помощью условной пересылки на DNS-серверах AD для companyb.com, указывающей на оба контроллера домена на сайте A для companya.com; кроме того, мы установили зону-заглушку в companya.com, чтобы указать на оба контроллера домена на сайте B для companyb.com.

Как и ожидалось, оба контроллера домена на сайте A могут надежно связываться с контроллером домена на сайте B. Однако оба контроллера домена на сайте B могут надежно связываться только с контроллерами домена на сайте A — поскольку мы развернули сервер условной пересылки, иногда выполняется поиск записей SRV в DNS. описание контроллеров домена на сайте B возвращает результаты для сайтов C и D, к которым сайт B вообще не имеет доступа. Это вызывает спорадические ошибки, такие как «Система не может связаться с контроллером домена для обслуживания запроса аутентификации. Повторите попытку позже».

Мне нужно убедиться, что когда контроллеры домена в companyb.com выполняют поиск контроллеров домена в companya.com, возвращаются только контроллеры домена в сайте A.

Я пытался:

  • Настройка сайта AD для сайта B с использованием подсети, к которой подключены контроллеры домена companyb.com. Однако я не думаю, что это работает, потому что в DNS ничего не настроено, чтобы указать, что сайт B должен обслуживать результаты только для сайта A.
  • Замена условной пересылки на контроллерах домена в companyb.com зоной-заглушкой. Та же проблема сохранилась, но еще хуже, потому что зона-заглушка вызывала поиск на DNS-серверах на сайтах C и D, которые были недоступны.
  • Ручное добавление основной зоны, интегрированной в AD, для companya.com на DNS-серверах companyb.com и добавление записей, указывающих на контроллеры домена на сайте A:
    • Несколько записей A для companya.com.
    • Несколько записей _gc._tcp.companya.com.
    • Несколько записей _ldap._tcp.companya.com.
    • Несколько записей _kerberos._tcp.companya.com.

Я не могу создавать туннели IPsec между сайтом B и сайтами C и D, а также не могу направлять трафик на сайты C и D через существующий туннель с сайта B на сайт A.

Я подозреваю, что функция политик DNS Windows Server 2016 может помочь в этой ситуации, но у меня нет доступа к контроллерам домена под управлением Windows Server 2016. Я также подозреваю, что мог пропустить некоторые записи, когда вручную настраивал зону DNS на серверах companyb.com.

Любое понимание будет оценено.

222
0 + 7
флаг cn
Greg Askew
Это кажется ненужным и запутанным. Процесс DC Locator предназначен для выбора и проверки контроллеров домена. Если ошибка «система не может связаться с контроллером домена», это означает, что ни в одном из возвращенных результатов не было пригодных для использования контроллеров домена. Кроме того, клиент должен попытаться использовать любую из записей, если на его локальном сайте нет записи для целевого домена.
0
Ответить
флаг fr
Daniel Arkley
Что может привести к тому, что соединения будут спорадическими в этом случае? Я проверил VPN и вижу трафик, предназначенный для контроллеров домена на сайте A с сайта B, но только для некоторых запросов; другие показывают трафик с сайта B на сайты C и D, и такой трафик не маршрутизируется из-за отсутствия каких-либо туннелей между соответствующими подсетями.
0
Ответить
флаг cn
Greg Askew
Причин может быть множество. При возникновении симптома должен быть запущен коррелированный захват пакетов, чтобы узнать больше. Возможно, контроллер домена проходит проверку связи LDAP, но не работает. Это может быть неправильное распределение портов брандмауэра для активности RPC.
0
Ответить
флаг fr
Daniel Arkley
Как и предполагалось, я просмотрел перехваченные пакеты и вижу активные попытки подключения к недоступным контроллерам домена. Эти контроллеры домена не могут ответить на ping-тест LDAP, как вы описали, поскольку между сайтом B и сайтами C и D нет VPN-туннеля, поэтому я не уверен, почему трафик направляется таким образом?
0
Ответить
флаг cn
Greg Askew
Это зависит от того, что такое «соединение» и приложение. Если это встроенная функциональность Windows, ожидается, что конечная точка будет подключаться ко всем без исключения контроллерам домена и тестировать их. Если это (нефункциональное) приложение, которое подключается к полному доменному имени домена, оно будет подключаться к первой возвращенной записи контроллера домена независимо от статуса. Кроме того, если контроллер домена сайта недоступен из других расположений, его не следует объявлять как глобально доступный контроллер домена. Вот для чего нужны DNS-мнемоники.
0
Ответить
флаг fr
Daniel Arkley
Я вижу tcp/445, категоризированный Active Directory, от сайта B к сайтам C и D. Речь идет о приложении Sage, которое подключается к общей папке Windows для поиска своих данных. Можете ли вы уточнить мнемонику DNS? Мое понимание настройки DNS заключалось в том, что если бы я находился в домене companya.com, я мог бы определить сайт AD, sitea.companya.com. Затем, если клиенты хотят найти контроллеры домена на sitea, они могут разрешить _ldap._tcp.sitea.companya.com. Как это работает с доверительными отношениями, учитывая, что доверительные отношения не знают о сайтах в других доменах?
0
Ответить
флаг cn
Greg Askew
Если это приложение, я не вижу, чтобы записи SRV учитывали это. Если у вас есть записи A для того же, что и родительская запись, и эти контроллеры домена недоступны, этого можно ожидать. Вам нужно либо очистить записи A для проблемного домена на сайте, где возникает проблема, либо изменить приложение, чтобы оно было более устойчивым и не использовало мертвые записи (маловероятно). Зоны-заглушки предназначены для собственных функций Windows в обычном домене, а не для использования приложения в лесу, где для домена публикуются мертвые записи DNS.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.