Active Directory se basa en una infraestructura DNS funcional y configurada correctamente . Si tiene un problema de Active Directory, es probable que tenga un problema de DNS. Lo primero que debe verificar es DNS. Lo segundo que debe verificar es DNS. La tercera cosa que debe verificar es DNS.
¿Qué es exactamente el DNS?
Este es un sitio para profesionales, así que supongo que al menos has leído el excelente artículo de Wikipedia . En resumen, DNS permite encontrar direcciones IP buscando un dispositivo por su nombre. Es fundamental que Internet funcione tal como la conocemos y se ejecuta en todas las LAN, excepto en las más pequeñas.
DNS, en el nivel más básico se divide en tres partes fundamentales:
Servidores DNS: estos son los servidores que mantienen registros de todos los clientes de los que son responsables. En Active Directory, ejecuta la función del servidor DNS en un controlador de dominio.
Zonas: los servidores mantienen copias de las zonas. Si tiene un AD con nombre ad.example.com, entonces hay una zona en sus Controladores de dominio que tiene DNS instalado con nombre ad.example.com. Si usted ha nombrado a un ordenador computery fue registrada con el servidor DNS, sería crear un registro DNS nombrado computeren ad.example.comy que sería capaz de llegar a ese ordenador a través del nombre de dominio completo (FQDN), lo que seríacomputer.ad.example.com
Registros: como mencioné anteriormente, las zonas contienen registros. Un registro asigna una computadora o recursos a una dirección IP específica. El tipo de registro más común es un registro A, que contiene un nombre de host y una dirección IP. Los segundos más comunes son los registros CNAME. Un CNAME contiene un nombre de host y otro nombre de host. Cuando busca hostname1, realiza otra búsqueda y devuelve la dirección para hostname2. Esto es útil para ocultar recursos como un servidor web o un recurso compartido de archivos. Si tiene un CNAME para intranet.ad.example.comy el servidor detrás de él cambia, todos pueden continuar usando el nombre que conocen y solo tiene que actualizar el registro CNAME para señalar al nuevo servidor. Útil eh?
Ok, ¿cómo se relaciona esto con Active Directory?
Cuando instala Active Directory y la función del servidor DNS en su primer controlador de dominio en el dominio, automáticamente crea dos zonas de búsqueda directa para su dominio. Si su dominio AD es ad.example.comcomo en el ejemplo anterior ( tenga en cuenta que no debe usar solo " example.com" como nombre de dominio para Active Directory ), tendrá una zona para ad.example.comy _msdcs.ad.example.com.
¿Qué hacen estas zonas? ¡GRAN PREGUNTA! Comencemos con la _msdcszona. Contiene todos los registros que las máquinas de sus clientes necesitan para encontrar controladores de dominio. Incluye registros para localizar sitios de AD. Tiene registros para los diferentes titulares de roles FSMO. Incluso tiene registros para sus servidores KMS, si ejecuta este servicio opcional. Si esta zona no existiera, entonces no podría iniciar sesión en sus estaciones de trabajo o servidores.
¿Qué contiene la ad.example.comzona? Contiene todos los registros de sus equipos cliente, servidores miembros y los registros A de sus controladores de dominio. ¿Por qué es importante esta zona? Para que sus estaciones de trabajo y servidores puedan comunicarse entre sí en la red. Si esta zona no existiera, probablemente podría iniciar sesión, pero no podría hacer mucho más que navegar por Internet.
¿Cómo obtengo registros en estas zonas?
Bueno, afortunadamente para ti, eso es fácil. Cuando instale y configure los ajustes del servidor DNS durante dcpromo, debe elegir permitir Secure Updates Onlysi se le da la opción. Esto significa que solo las PC unidas al dominio conocidas pueden crear / actualizar sus registros.
Retrocedamos por un segundo. Hay algunas formas en que una zona puede obtener registros en ella:
Los agregan automáticamente las estaciones de trabajo que están configuradas para usar el servidor DNS. Este es el más común y debe usarse en conjunto con "Solo actualizaciones seguras" en la mayoría de los escenarios. Hay algunos casos extremos en los que no desea seguir este camino, pero si necesita el conocimiento en esta respuesta, entonces esta es la forma en que desea hacerlo. De manera predeterminada, una estación de trabajo o servidor de Windows actualizará sus propios registros cada 24 horas, o cuando un adaptador de red obtenga una dirección IP asignada , ya sea a través de DHCP o de forma estática.
Crea manualmente el registro. Esto puede suceder si necesita crear un CNAME u otro tipo de registro, o si desea un registro A que no está en una computadora AD confiable, tal vez un servidor Linux u OS X que desea que sus clientes puedan resolver por nombre.
Dejas que DHCP actualice DNS cuando se entregan los arrendamientos. Para ello, configure DHCP para actualizar los registros en nombre de los clientes y agregar el servidor DHCP al grupo AD DNSUpdateProxy. Esto no es realmente una buena idea, porque te abre a la zona de envenenamiento. El envenenamiento de zona (o envenenamiento de DNS) es lo que sucede cuando una computadora cliente actualiza una zona con un registro malicioso e intenta suplantar a otra computadora en su red. Hay formas de asegurar esto, y tiene sus usos, pero es mejor dejarlo solo si no lo sabe.
Entonces, ahora que tenemos eso fuera del camino, podemos retomar el camino. ¡Ha configurado sus servidores AD DNS para permitir solo actualizaciones seguras, su infraestructura está avanzando y luego se da cuenta de que tiene una tonelada de registros duplicados! ¿Qué haces al respecto?
DNS Scavenging
Este artículo requiere lectura . Detalla las mejores prácticas y configuraciones que necesitará configurar para buscar. Es para Windows Server 2003, pero aún es aplicable. Léelo
El barrido es la respuesta al problema de registro duplicado planteado anteriormente. Imagine que tiene una computadora que obtiene una IP de 192.168.1.100. Registrará un registro A para esa dirección. Luego, imagine que se había apagado durante un período prolongado de tiempo. Cuando vuelve a encenderse, esa dirección la toma otra máquina, por lo que se obtiene 192.168.1.120. Ahora hay registros A para ambos.
Si limpia sus zonas, esto no será un problema. Los registros obsoletos se eliminarán después de un cierto intervalo y estará bien. Solo asegúrate de no buscar todo por accidente, como usar un intervalo de 1 día. Recuerde, AD depende de estos registros. Definitivamente configure el barrido, pero hágalo responsablemente, como se describe en el artículo anterior.
Entonces, ahora tiene una comprensión básica de DNS y cómo se integra con Active Directory. Agregaré partes y piezas en el camino, pero siéntase libre de agregar también su propio trabajo.