Как настроить DNS в Active Directory?

Question

[Horus Lupercal]

Добрый день. Разворачиваю доменную сеть в предприятии и столкнулся с проблемой. Нет пингов, если обращаться к доменному имени, как от сервера AD до локальных компьютеров, так и обратно, соответственно ввести компьютеры в домен не выходит. DNS сервер на маршрутизаторе MikroTik. Пытался настроить на MikroTik DNS-Forward до сервера AD - без результата. Подскажите пожалуйста куда рыть. Может что-то не так настроил.

Детали:
Название доменной сети: citrzn.ru

DNS-FWD на MikroTik:

Ipconf сервера AD:

Ipconf локального ПК:

P.S. на MikroTik в Firewall прописано правило, чтобы пакеты ходили из подсети 192.168.0.0/24 в 10.10.11.0/24 и обратно

Comments

[Sasha Odarchuk]

если ping по ІР тоже не походит то у вас проблемы с роутингом!

[Horus Lupercal]

Sasha Odarchuk, по ip проходит. по доменным именам нет

Answer 1

[Drno]

Если на ПК вручную указать сервер DNS - на котором AD, начинает находить?

Comments

[Horus Lupercal]

нет. проблема в том, что основной DNS - на MikroTik

[Drno]

Horus Lupercal, я понял что на микротик. но по идее, если указать на ПК ДНС сервак от AD, он должен норм начать находить... Мож проблема с ДНС на серваке AD??
Выдайте в конце концов в DHCP сервере микротика, вторым DNS - Ваш AD

[Valentin Barbolin]

Не понятно куда копать. Попробуй для начала указать на ПК DNS 10.10.11.21. Так же неплохо бы добавить DNS суффикс на ПК.

[Horus Lupercal]

Drno, на микроте указаны 3 DNS. первый - он сам. второй - гугловский и третий от провайдера. без разницы каким номером его ставить? или нужно вторым.

Andrey Barbolin, на пк DNS 10.10.11.21 и так указан. на счет суффикса не понимаю о чем речь.

[Valentin Barbolin]

Horus Lupercal, Для начала необходимо понять корректно ли работает DNS в АД. Это можно сделать несколькими способами.
- nslookup ИМЯ_ПК_КОТОРЫЙ_БУДЕШЬ_ПИНГАТЬ 10.10.1121.
- укажи на ПК основным DNS 10.10.11.21, другие DNS из настроек ПК убери. На АД укажи в качестве сервера пересылки Forward IP микротика.

Посмотри на вывод ipconfig c ПК, поле основной DNS суффикс пустое, а должно быть как на АД.

[Horus Lupercal]

Andrey Barbolin, на MikroTik прописал static dns для сервера AD. результат nslookup:
теперь пинги с локального пк до сервера AD идут, в обратную сторону - нет.

для указания сервера пересылки необходимо указать dns-домен. не понимаю что именно он хочет увидеть. или просто адрес микрота продублировать?

P.S. в посте выложены ipconf-ы с сервера и локального пк

[Valentin Barbolin]

Horus Lupercal, Ты вообще понимаешь как работает DNS?
когда ты пишешь ping ad.server твой ПК отправляет запрос на DNS (грубо говоря nslookup ad.server) получает IP и пингает его. Если у тебя не работает ПИНГ по имени (hostname), значит ПК не получит IP от DNS.

в обратную сторону - нет.

Пишешь ты максимально загадочно. Из этого описания не возможно понять что ты пингал. Полагаю, что ты на АД писал ping PC_HOSTNAME.

С какого DNS по твоему АД должна получить IP ПК ?

У домен контроллера основной DNS он же, домен контроллер, соответственно на нем должна быть эта запись.

Откуда в AD DNS возьмется запись для ПК ?

ПК должен сам себя туда прописать. Попробуй на ПК выполнить команду ipconfig /registerdns и потом проверь свой не рабочий пинг с домена на ПК.
https://docs.microsoft.com/ru-ru/troubleshoot/wind...

[Horus Lupercal]

Andrey Barbolin, ipconfig /registerdns не помогла.
я понимаю как работает dns. вопрос в том, как мне указать, чтобы AD искал имена в dns-сервере на MikroTik. повторюсь: в настройках серверов условной DNS на AD нужно указать "DNS-домен". не совсем понимаю что он именно хочет.

[Valentin Barbolin]

Horus Lupercal, Домен контроллер сначала ищет имя у себя, если не нашел, то пересылает запрос на DNS который указан как forwarders. Но надо понимать, домен контроллер является держателем зоны citrzn.ru, он будет пересылать запросы для этой зоны.


Покажи какие именно команды ты пишешь.

[Horus Lupercal]

Andrey Barbolin,
вот что он выдаёт.

когда пытаюсь добавить сервер условной пересылки:

[Valentin Barbolin]

Horus Lupercal, Говорит, что DNS на 192.168.0.1 не работает, точнее он не может получить от него ответ.
Команда

nslookup google.com 192.168.0.1

проходит с контроллера? Смотри firewall.

[Horus Lupercal]

Andrey Barbolin,

[Drno]

Horus Lupercal, ну тут он указывает что у Вас адрес из другой подсети...
и кстати, не является ли проблемой, что домен citrzn.ru - реально уществует? откуда такой выбор? обычно делают .local

[Alexander.S]

Drno, Но лучше даже .local не использовать. И если есть реальный домен в инете, юзать типо: corp.name.ru

[Horus Lupercal]

Drno, да, в интернете такой домен есть. но, на предыдущем месте работы имя домена совпадало с существующим доменом в интернете. и всё работало. отличие только, что DNS тогда был на том же сервере, что и AD, если это что-то меняет.

да, адрес в другой подсети, но в файрволле на микроте стоят правила, чтобы траффик ходил между этими подсетями

[Valentin Barbolin]

Horus Lupercal, Какая версия windows ?

[Valentin Barbolin]

Horus Lupercal, Какая версия windows ?

[Horus Lupercal]

Andrey Barbolin, Windows Server 2019 на сервере AD. на локальном ПК Windows 10

[Valentin Barbolin]

Horus Lupercal, Почему у нас по разному выглядит окно настройки сервера пересылки?

[Horus Lupercal]

Andrey Barbolin, могу так показать

[Valentin Barbolin]

Horus Lupercal, Покажи окно под кнопкой ИЗМЕНИТЬ.

[Horus Lupercal]

Andrey Barbolin,

[Valentin Barbolin]

Horus Lupercal, Вот это тогда что?

[Horus Lupercal]

Andrey Barbolin, это в окне Диспетчер DNS самая нижняя папка - Серверы условной пересылки.
ПКМ>Создать сервер условной пересылки

[Valentin Barbolin]

Horus Lupercal, Нельзя форвардить запросы для зоны в который ты root. Домен контроллер не будет пересылать запросы для своей зоны.

[Horus Lupercal]

Andrey Barbolin, расшифруйте пожалуйста для чайников.

[Valentin Barbolin]

Horus Lupercal, У тебя есть домен citrzn.ru, держателем этого домена в локальной сети является домен котроллер (АД). Когда к нему приходят DNS запросы в этой доменной зоне (типа citrzn.ru, ps.citrzn.ru, share.citrzn.ru) он не будет их никому пересылать, т.к. это его зона.

[Horus Lupercal]

Andrey Barbolin, ещё вопрос.
по поводу Зоны обратного просмотра. я добавил две подсети. правильно ли?

[Valentin Barbolin]

Horus Lupercal, С виду, да.

Answer 2

[HexUserHex]

Боюсь что здесь все не ограничится только указаниями DNS сервера который на микротике, так как в AD и DNS очень тесно работают...

https://koobik.net/mikrotik-dns-dhcp-for-active-di...

Comments

[Horus Lupercal]

сейчас появилась новая функция вместо этих костылей - DNS-FWD. но я не понимаю как она работает(см. спойлер - DNS-FWD). вроде пишу как надо, а толку ноль

Answer 3

[Alexey Dmitriev]

1. Похоже что на Mikrotik нет сервера DNS, там DNS Forwarder.
2. У вас вообще развернут AD integrated DNS server на каком-то из серверов?

Comments

[Horus Lupercal]

нет. dns-сервер развернут именно на MikroTik

[Alexey Dmitriev]

Horus Lupercal, я не нахожу в гугле информацию, что на Mikrotik можно развернуть полноценный DNS сервер.
Можете прислать скриншот размещенной на Mikrotik DNS зоны с записями?

[Drno]

Alexey Dmitriev, на микротике есть свой DNS, можно сделать записи, и кеш хранится. Но по сути он всё пересылает просто

Answer 4

[Horus Lupercal]

Вопрос закрыт. Проблема решается следующим путём: тык

Answer 5

[Дмитрий Кузнецов]

Все же просто. Микротик основной шлюз и днс. Домен с АД и днс отдельно( в днс домена резолвить 1.1.1.1) а на микротики стоит настройка пересылать днс записи на доменный днс. Через лаер 7 маркируем трафик и пересылаем на нужный ip. У меня так. И все работает)