Как прописать настройки DNS для добавления компьютера в домен Windows?

Question

[Искатель]

Чтобы добавить компьютер в домен Windows testdomain.local нужно же чтобы с него разрешались имена _tcp._msdcs.testdomain.local, _sites._msdcs.testdomain.local,..
Возможно ли это сделать не прописывая IP-адрес контроллера домена в DNS, а, скажем, прописав нужные записи в C:\Windows\System32\drivers\etc\hosts ?

Comments

[Valentin Barbolin]

Можно прописать NRPT политику на ПК, что бы от резолвил домен msdcs.testdomain.local только с определенных DNS.

Answer 1

[MVV]

Нет, нельзя.
В hosts можно прописать только записи типа A, а обнаружение домена работает через записи типа SRV.

PS А с чем связано такое странное желание? Если с тем, что вам нужно разрешать ещё и имена в интернете, то можно настроить на сервере DNS на контроллере домена пересылку на тот сервер, который разрешает имена в интернете. Либо - позволить контроллеру домена свободно рассылать запросы DNS по всему интернету - тогда он сам обратится к нужным серверам-владельцам зон, начиная с корневых (их список у него есть).

Comments

[Искатель]

Не хочется, чтобы все DNS-запросы поступали на контроллер домена, слишком нагружая его.
А возможно ли тогда на роутере сделать разделение, чтобы DNS-запросы зоны testdomain.local шли в контроллер домена, а остальные - в DNS-сервер провайдера? Роутеры MikroTik кажется такое умеют.

[MVV]

Концептуально есть два пути сделать то, что вы хотите: создание вторичной зоны testdomain.local на маршрутизаторе(или ее усеченного варианта - зоны-заглушки) или условная пересылка запросов к зоне testdomain.local на контроллер домена. Смотрите документацию по вашему маршрутизатору, что он умеет.

PS Насчет нагрузки на контроллер домена можно не переживать, для современных серверов такая нагрузка - мелочь.

[Роман Безруков]

Искатель,

Роутеры MikroTik кажется такое умеют

емнип - у микротов это можно сделать через Split-DNS и/или статические записи DNS с типом FWD:

/ip dns static
add forward-to=192.168.0.5 regexp=".*\\.internal\\.lab\$" type=FWD

[Ziptar]

Искатель,

Не хочется, чтобы все DNS-запросы поступали на контроллер домена, слишком нагружая его

Это очень нересурсоемкая задача, этой нагрузкой можно пренебречь. К тому времени, когда днс запросы могут стать проблемой - там уже далеко не один DC должен быть (помимо резервного).

[Искатель]

Роман Безруков, воспользовался вашим советом

возник ещё вопрос, допустим рабочая станция потеряла связь с контролером домена из-за кратковременной проблемы в сети, сеть из доменной превратилось в общественную, авторизация с доменными учётками перестала работать. Как вернуть компьютер в домен без перезагрузки?

[MVV]

Искатель, сам вернется. Служба сетевого входа в систему (Netlogon) периодически пытается связаться с контроллером домена.
А ещё у нее есть кэш (если не отключен через политику), и, если пользователь раньше входил локально на этот компьютер и его учетные данные есть в кэше, то он сможет локально войти и при недоступности КД, авторизация произойдет по этим кэшированным учетным данным.