Как восстановить работу Active Directory в связке Mikrotik + Windows Server?

Question

[TypicalUserOfInternet]

Ситуация следующая:
Жили спокойно и имели Active Directory на Windows Server 2003 на нем же DHCP и DNS. Подключили гигабит, купили Mirotik RB2011, DNS перенесли на него, по DHCP разбрасывается DNS 192.168.2.1 (основной шлюз).
После определенной ситуации сервер вышел из строя и для обеспечения работы без него, перекинул DHCP на Mikrotik, а после того, как восстановили сервер на нем DHCP выключил. И домен AD стал недоступен.
Объясните мне, человеку на которого упала такая ответственность настройки локалки и восстановления AD, как должно все это работать? DHCP должен лежать вместе на машине с AD? Просто либо я действительно не умею искать и воспринимать информацию, либо просто ответа на мой вопрос в интернете нет.
Когда все элементы лежат на Mikrotik мне нравится стабильность работы системы, если ночью мигнул свет, не нужно с самого утра спешить и включать сервер, понимаю что все решается покупкой бесперебойника, но на него нужно еще взять деньги.
Также вопрос-бонус: возможно ли сделать миграцию AD с Windows Server 2003 на 2016/2019? Также мы имеем общую папку, где-то она подключается по имени пользователя сервера, где-то по статическому айпи, можно ли будет сохранить ее работоспособность без добавления папки заново?

Comments

[Drno]

для того чтобы не бегать, можно включить автостарт при подаче питания на ПК...

[maxsmeller]

На сколько я знаю, DHCP может быть на Mikrotik, но чтобы всё работало корректно, DNS должен быть на контроллере домена.

[Alexey Dmitriev]

Вам не информацию надо бы искать, а знания как работает AD и какое влияние на ее работу оказывает DNS - надо бы получить.
А уж ответов на в"вопрос-бонус" в интернете завались.

[Valentin Barbolin]

На сколько я знаю, DHCP может быть на Mikrotik, но чтобы всё работало корректно, DNS должен быть на контроллере домена.

Все версно, Domain Controller должен резолвиться, а как ты это сделаеш - другой вопрос.
Можно в качестве DNS в DHCP указать АД.
Можно на микротике форвард настроить на АД, а на АД форвард в мир.
Можно на микротике настроить SplitDNS, что бы только запросы в АД формардились на АД.
https://interface31.ru/tech_it/2023/02/nastraivaem...

[TypicalUserOfInternet]

maxsmeller, То есть я поднимаю DNS на AD и разбрасываю его через DHCP, тогда домен станет доступным на всех машинах? Тогда я попробую пару вариантов сочетания, а там посмотрим.

[Materique]

У Mikrotik есть один прикол по поводу DNS:
В DHCP -> Networks надо прописывать Domain, и именно через точку (например domain.local), тогда все будет резолвиться.

[TypicalUserOfInternet]

Materique

У Mikrotik есть один прикол по поводу DNS:
В DHCP -> Networks надо прописывать Domain, и именно через точку (например domain.local), тогда все будет резолвиться.

При этом на AD что должно происходить? Нужно на нем поднять DNS или прописывания домена должно хватить? Потому что домен был прописан изначально

[Роман Безруков]

TypicalUserOfInternet, DNS в AD нужен, ибо доменные клиенты обращаются к нему за разрешением имен и поиском определенных сервисов, регистрацией и т.д., а AD DNS должен пересылать на микротик только те запросы, которые не может разрешить сам...как-то так должно работать

[Materique]

TypicalUserOfInternet, Если на микроте поднят DNS (правильно), то на AD как минимум микрот должен быть указан как DNS сервер, делаем и резолвим имена. Но лучшая практика - поднять DNS на AD.

[osada]

DNS- служба на AD DC нужна всегда по умолчанию. Это правило действует еще с первой версии AD, т.е. с 2000 версии. При этом 'эти DNS -атрибуты записаны в схеме AD (можете там поковыряться самому для интереса, но только ничего не меняйте) и крайне нежелательно просто так перебрасывать эту службу на другие внешние устройства.

Если нужно настроить DNS на шлюзе, то настройте еще один DNS на Микротике, затем нужно просто указать IP этого Микротика во вкладке Forwarding (насколько я помню) самой DNS-оснастки AD DC.

Т.е., получается стандартная схема - запросы на внутренние AD DNS хосты обрабатываются AD DC, а все внешние запросы сам AD DC передает на обработку Микротику.

Если службы DNS и DHCP с самого начала были настроены на AD DC, то ничего лучше не менять просто так, не имея явных причин на это.

Answer 1

[MVV]

Сервер DHCP может быть где угодно. Но он обычно раздает адреса серверов DNS для клинтов. И для работы AD это критично. Общее правило: на клиентах в списке серверов DNS не должно быть серверов, которые не знают про домен AD. В списке серверов DNS должны быть только контроллеры домена (КД) или серверы/прокси DNS, которые переадресуют запросы к именам из этого домена на КД.
Простейший вариант этого правила, для начинающих: в списке серверов DNS на членах домена должны быть только КД.