Как жестко привязать имя сайта к ip на контроллере домена?

Question

[Андрей Кузнецов]

Добрый день! В AD два контроллера домена, оба глобальные каталоги. Всё ок, репликация, обновление политик проходит отлично, всё работает, в том числе, когда один в ауте.

В сетевых настройках обоих в качестве шлюза - роутер, первый DNS сервер - другой контроллер, второй DNS сервер - сам контроллер.

На первом висит сайт-заглушка и RDWeb для восстановления паролей. Клиенты в основном, почему-то предпочитают подключаться через второй контроллер, не разбирался. В таком случае контроллер замыкает всё на себе и при попытке открыть сайт обращается к своему IP и, естественно, ничего не находит.

Везде, где нашел - прописал, что домен находится на первом контроллере, даже в роутере на всякий случай. То работает, то не работает.

Есть идея на втором жестко указать IP первого для домена, но не пойму как. Подскажите пожалуйста, как лучше поступить.

Comments

[Smithson]

Чего-то я не понял.
Запрос ресолвинга dns-ip делает клиент. На клиенте у вас первый днс прописан или второй?
Второй вопрос - днс на контроллерах у вас не сингхронизированы? Как так?

[Роман Безруков]

Как жестко привязать имя сайта к ip

для этого существует DNS. Сайт где опубликован - внутри или снаружи?

при попытке открыть сайт обращается к своему IP

что возвращает nslookup/ping сайта со второго КД? Возможно, ваш сайт вписан на первом КД в файл hosts...

З.Ы. не помешает полная проверка ваших КД с помощью DCDIAG

[MVV]

Роман Безруков, nslookup, кончено, не помешает, но почти наверняка у автора вопроса сайт RDWeb клиенты ищут по DNS-имени домена (т.е. записи типа A, совпадающей с именем домена). Я у себя в ответе предположил именно это и написал, что можно сделать (а что, на самом деле, сделать нужно, написали уже до меня).

[hint000]

Клиенты в основном, почему-то предпочитают подключаться через второй контроллер, не разбирался.

А там FSMO-роль "PDC Emulator".

Answer 1

[MVV]

Можно запретить второму КД через регистрировать свой IP с именем, совпадающим с именем домена (и при необходимости - удалить уже существующую запись вручную). Проще всего, IMHO, это сделать в локальной политике этого КД. Нужный параметр политики - Административные шаблоны/Система/Сетевой вход в систему/DNS-записи контроллеров доменов не регистрируемые контроллерами доменов: там в строке параметра дожен присутствовать элемент LdapIPpAddress. Только вот, не забыть бы ещё сделать нужные испавления при добавлении нового КД - рано или поздно это понадобится. Поэтому - документируйте.

Но лучше сделать, как написал в своем ответе Руслан Федосеев - дать сайту с RDWeb отдельное имя, чтобы наверняка избежать конфликта с автоматически регистрируемыми записями.

Answer 2

[Руслан Федосеев]

не надо смешивать домен AD и интернет домен. Лучше, если ваш домен internet.ru - AD поднять например на corp.internet.ru. Или office.internet.ru
И не надо будет развлекаться с вашими привязками...

Как вариант - поднять на всех контроллерах веб сервер, на нем заглушку с редиректом на отдельный www.internet.ru на отдельном сервере....

Answer 3

[Андрей Кузнецов]

Огромное спасибо за участие и советы! Да, сделаю по вашим советам. На всякий случай прокомментирую:

На клиентах в качестве DNS серверов указаны оба КД
Сайт я хотел разместить внутри, на первом КД
nslookup на втором КД возвращает свой IP
в хостс ничего нет
DCDIAG выдает многабукаф, на первом проблемы nvidia (подозреваю, что дело не в этом) и не пройдена только DFSREvent из-за наличия ошибок

Comments

[MVV]

>не пройдена только DFSREvent из-за наличия ошибок

Если это - в течение суток после перезагрузки одного из контроллеров, то это нормально. Но, на всякий случай, проверьте в консоли управления групповой политикой, что изменения файлов политик у вас реплицируются: в норме они правятся на "главном" КД (который PDC Emulator) и оттуда реплицируются на остальные.