Как правильно настроить DNS сервер в Active Directory?

Question

[Вячеслав Гранченко]

Всем привет! Есть вопрос к знатокам DNS серверов под управлением Windows. Даже несколько

Входные данные: локальный Windows Server 2022 с Active Directory и DNS сервером.

1. Какой ip-адрес должен быть вписан в поле DNS на сетевом интерфейсе сервера? Сейчас вписан адрес шлюза, который подключен к провайдеру интернета.
2. Какие ip-адреса DNS должен приписывать шлюз локальным пользователям? Шлюз является DHCP сервером. Сейчас он приписывает адрес локального DNS сервера, адрес шлюза и адрес DNS Google.
3. В приставке управления DNS сервером должно быть две зоны или одна? Сейчас присутствует одна с именем компа (netbios имя) и одна с суффиксом домена (fqdn имя).
4. Какие права доступа должны быть прописаны для папки NETLOGON и SYSVOL? При экспериментах были изменены и теперь есть проблемы с доступом и репликацией

dcdiag на сервере показывает следующие ошибки: проблема с доступом к папке SYSVOL, ошибка Connectivity.

Основные проблемы: а). медленная работа DNS (страницы у пользователей открываются очень медленно); для этого был прописан второй DNS-адрес шлюза. б). при первом подключении к домену новых пользователей компьютер не может найти контроллер домена по имени; приходится вручную прописывать DNS - адрес локального DNS сервера; в). при подключении пользователей к домену не всегда или не все правила GPO применяются к пользователю; приходится делать logout/login или gpupdate /force (не всегда помогает).

Заранее благодарю за все советы и наводки Всем мира и стабильно работающих серверов!

Comments

[Drno]

если тебе нужен интернет на сервере, то DNS должны быть провайдерские или какие то публичные
на клиентах DNS - сервер AD

[Вячеслав Гранченко]

Drno, т.е. по DHCP пользователи должны получать только адрес локального DNS сервера, а на самом сервере настроить форвард DNS на шлюз, если локальный DNS не может распознать сетевое имя? Например, для ресурсов в инете.

[Вячеслав Гранченко]

Drno, на сервере DNS в настройках сетевого интерфейса прописан адрес шлюза, чтобы на сервере был инет. Рекомендуется еще прописать 127.0.0.1. Не знаю насколько это критично и стоит ли делать.

[Drno]

Вячеслав Гранченко, локальный DNS на сервере указывается, чтоб сервер мог разрешать внутренние имена AD
На самом сервере надо настроить форвард DNS, если всё правильно сделано - клиентам достаточно только DNS сервера AD, для полноценной работы

Только форвард DNS делается не на шлюз, а на внешние DNS сервера.
Не путайте адрес шлюза и адрес DNS, это разные службы и друг от друга не зависят

[Valentin Barbolin]

> 1. Какой ip-адрес должен быть вписан в поле DNS на сетевом интерфейсе сервера? Сейчас вписан адрес шлюза, который подключен к провайдеру интернета.
Его же адрес. В самих настройках DNS службы должен быть формард на публичные DNS (1.1.1.1 работает быстрее 8.8.8.8)

> 2. Какие ip-адреса DNS должен приписывать шлюз локальным пользователям? Шлюз является DHCP сервером. Сейчас он приписывает адрес локального DNS сервера, адрес шлюза и адрес DNS Google.
Все доменные ПК должны получать адрес DNS домен контроллера.

[Вячеслав Гранченко]

Andrey Barbolin,
1. в виде 127.0.0.1 или статического адреса в сети, который он имеет?
2. есть смысл прописывать несколько форвардов (например 8.8.8.8, 4.4.4.4, 8.8.4.4, 1.1.1.1.) или оставить один?
3. что будет если пользователи будут получать от DHCP сразу три адреса DNS: AD, шлюз, глобальный?
4. почему сейчас новые пользователи при попытке подключиться к домену AD не видят его по имени пока в настройках интерфейса на их компе не пропишешь статикой в DNS поле - адрес AD контроллера? ведь его ip адрес передается им по DHCP...

[Valentin Barbolin]

Вячеслав Гранченко,
> 1. в виде 127.0.0.1 или статического адреса в сети, который он имеет?
статического адреса

> 2. есть смысл прописывать несколько форвардов (например 8.8.8.8, 4.4.4.4, 8.8.4.4, 1.1.1.1.) или оставить один?
есть смысл прописывать несколько форвардов

> 3. что будет если пользователи будут получать от DHCP сразу три адреса DNS: AD, шлюз, глобальный?
Такого быть не должно, пользователи должны получать только DNS домена. В противном случае буду постоянные проблемы в связи с доменом.

> 4. почему сейчас новые пользователи при попытке подключиться к домену AD не видят его по имени пока в настройках интерфейса на их компе не пропишешь статикой в DNS поле - адрес AD контроллера?
смотри пункт 3

ведь его ip адрес передается им по DHCP...
DHCP так же должен раздавать опцию 15 "имя домена"

[Вячеслав Гранченко]

Andrey Barbolin, что значит опция 15 "имя домена"?

[Valentin Barbolin]

Вячеслав Гранченко, https://www.dtonias.com/configure-dhcp-server-scop...

DHCP помимо адреса и DNS можешь еще кучу информации отдать клиенту.

[Вячеслав Гранченко]

Andrey Barbolin, у меня DHCP сервер установлен не на Windows сервере, а на шлюзе Sophos. Поэтому кол-во настроек и функций могут отличаться, но я и это проверю

[Valentin Barbolin]

Вячеслав Гранченко, Sophos не пропускает google?
https://docs.sophos.com/nsg/sophos-firewall/18.5/H...

Тоже самое, только вместо 176 будет 15
system dhcp dhcp-options add optioncode 176 optionname my.domain

Есть высшая магия, в виде NRPT политики.
https://docs.microsoft.com/en-us/previous-versions...

Тебе нужна только вкладка Generic DNS server, но нужно понимать что и зачем ты делаешь.
Если правильно настроить политику, то ПК будет всегда резолвить твой домен на определенных DNS и не важно какие DNS будут указаны в настройках сетевого интерфейса.

[Вячеслав Гранченко]

всем спасибо. проблема решена правильной настройкой DHCP сервера и сетевого интерфейса на сервере домена.

Answer 1

[Евгений Хлебников]

Если это единственный домен контроллер, то он должен смотреть на свой IP адрес в настройках DNS клиента. Если нет - на IP адрес другого домен контроллера со службой DNS (если их, например, два - то они должны смотреть друг на друга. Три - каждый смотрит на два других. Но не стоит забывать, что при привязке по AD сайтам или нахождении в лесу, DNS резолвинг в домене может быть более усложнён, лучше изучить тему, погрузившись в документацию AD - внутренний DNS AD важен для правильного функционирования)

Соответственно в DNS сервере(серверах) должны быть настроены форвардеры на DNS провайдера + какой-нибудь публичный
На территории РФ я бы рекомендовал Яндекс, а за пределами - google или cloudflare. Что прописывать в форвардерах - ваше решение, можете хоть всё туда вбить вне зависимости от местонахождения
Внутренним ПК необходимо отдавать адрес только AD контроллера(ов) и следить за работоспособностью DNS службы на серверах

про sysvol и netlogon

Comments

[Вячеслав Гранченко]

1. в виде 127.0.0.1 или статического ip, который ему присвоен, если это вообще имеет значения? если мне нужен инет на этом сервере, прописывать вторым dns - адрес публичного dns или адрес шлюза? сейчас прописан адрес шлюза и инет есть, но не понятно правильно ли с точки зрения топологии.
2. это единственный контроллер домена. что будет, если от DHCP сервера в качестве DNS будут передаваться сразу три адреса: локальный AD, шлюз, публичный 8.8.8.8? собственно, так сейчас и есть, но что-то явно работает коряво.

[Евгений Хлебников]

1. тот, на котором слушает DNS сервер. Если на всех - то любой. Если на конкретном (как правило 127.0.0.1 в таком случае там отсутствует, иначе не будет работать резолвинг у клиентов) то приватный IP адрес
Заодно проверьте что в DNS форвардерах нет ничего лишнего, тесты(в интерфейсе) проходят и DNS - как локальные адреса так и внешние - резолвятся на клиенте, у которого прописан только этот DNS сервер

2. конфигурация допустима в OS win10+ но для верности лучше переложить весь внешний резолвинг на DNS сервер контроллера домена а на клиентах оставить только адрес контроллера домена
Конфигурация, когда на клиенте прописаны как локальные так и внешние резолверы - вполне работоспособна, после выхода одного из билдов Win10 когда на запрос DNS имени шел запрос ко всем DNS серверам прописанным на интерфейсе. Однако в последующих билдах поведение менялось, так что для верности лучше оставить только AD резолвером.
P.S. Это может привести к проблемам у клиентов, когда по какой то причине DNS сервер на контроллере домена не будет функционировать, так что учитывайте и эту ситуацию, обычно для ее разрешения нужно как минимум 2 контроллера домена.
P.P.S. искренне надеюсь, что в конфигурации "единственный контроллер домена" вы его регулярно бэкапите

[Сергей Кузнецов]

Официальные рекомендации Microsoft

А вот тут рекомендуют ни в коем случае не писать адреса 127.0.0.1

[Евгений Хлебников]

Сергей Кузнецов,
ну не знаю, я бы даже не зная как это работает, доверял больше официальной документации, тем более что ваша ссылка целенаправленно говорит про домен 2к/2к3
DNS служба может слушать на 127.0.0.1 (а может и не слушать). Вы можете это проверить открыв свойства DNS сервера - там будут перечислены интерфейсы на которых служба работает
В случае единственного домен контроллера - он должен иметь в свойствах сетевого подключения себя, как DNS сервер, для прозрачной работы сервисов, связанных с резолвингом DNS в домене Active Directory. Если служба DNS биндится на 127.0.0.1 - никто не запрещает использовать и этот адрес
В случае, когда DNS серверов больше 1 - в сетевом интерфейсе каждого сервера должен быть прописан другой, себя там писать вообще нельзя - возникает цикл