none
Jak počítače v různých podsítě nastavit různé dns domény v rámci jedné Active Directory domény

    Dotaz

  • Ahoj. Mám dvě podsítě, v nichž se počítače přihlašují k doménovému serveru Windows. Počítače si registrují doménové jméno ve tvaru PC.domenawindows.organizace. Chtěl bych, aby v každé podsíti počítače používali jinou dns poddoménu (např. oddeleni1.organizace a oddeleni2.organizace). Jednu centrální AD doménu Windows bych chtěl zachovat, v obou sítích platí stejná pravidla. Je možné to rozdělit, anichž bych musel vytvářet novou AD doménu? Případně bych mohl zakázat počítačům aktualizovat dns záznamy a nechat to jen na dhcp serveru - tam už bych to snad nastavit zvládnul. Nyní jsou klienti i Windows server ve stejné dns doméně. Je to kvůli nějaké funkčnosti vůbec potřeba nebo na tom nezáleží?
    15. července 2012 10:24

Odpovědi

  • Se obavam, ze to co chcete, nelze.

    Pokud spravne chapu princip AD, tak DNS suffix (DNS domena) rika stanici, kde ma v zaznamech DNS serveru hledat. Tj jsa clenem domenawindows.organizace hleda stanice zaznamy pror DC servery v _msdcs, _tcp, _sites, atp VE SVE DNS DOMENE.

    Ale vy chcete, aby stanice mela DNS suffix oddeleni2.organizace a presto hledala DC servery v DNS domene domenawindows.organizace. Se obavam, ze to neni mozne. Bude je hledat v oddeleni2.organizace  DNS serveru, ktere tam logicky nebudou.

    Mozna by tam sly tyto zaznamy dodelat rucne nebot DC servery si je i nadale budou registrovat jen ve sve vlastni domene domenawindows.organizace. Ale rozhodne to neni nic podporovaneho.

    Spravne reseni je jeden forest, vice domen. Nebo pro rozlisovani umisteni stanic pouzivejte IP sit, ktera muze byt samozrejme pro kazdou organizaci jina. Staci mit jen spravne TCP/IP routing

    17. července 2012 9:33

Všechny reakce

  • Co je ucelem takove upravy?

    > Je to kvůli nějaké funkčnosti vůbec potřeba nebo na tom nezáleží?

    Je to kvuli funkcnosti a zalezi na tom, protoze krome standarnich zaznamu v DNS jsou dulezite i dalsi zaznamy, ktere jsou klicove pro funkci pocitace v active directory (RR).

    M.

    15. července 2012 10:42
    Moderátor
  • > Co je ucelem takove upravy?

    Účelem takové úpravy by byla přehlednější lokalizace počítače. Pokud někdo vezme notebook a připojí v druhé podsíti, tak hned uvidím, kde je. Pomocí periodického stahování jednotlivých zón si můžu utvářet databázi počítačů bez dalších závislostí na AD. Kromě toho je jedna podsíť s veřejnými ip adresami a hlavně kvůli tomu potřebuji jinou dns doménu.

    > Je to kvuli funkcnosti a zalezi na tom, protoze krome standarnich zaznamu v DNS jsou dulezite i dalsi zaznamy, ktere jsou klicove pro funkci pocitace v active directory (RR).

    Mohl byste mě prosím odkázat na nějakou dokumentaci, kde se tohle popisuje, abych o tom měl trochu přehled? Já jsem v dokumentacích našel jen potřebu dns záznamů pro servery, ne pro klienty.

    15. července 2012 11:16
  • http://www.petri.co.il/active_directory_srv_records.htm jsem četl a i na podobných stránkách se nezmiňují SRV záznamy klientů, ale je serverů, viz. "SRV resource records map the name of a service to the name of a server offering that service. Active Directory clients and domain controllers use SRV records to determine the IP addresses of domain controllers."
    15. července 2012 17:44
  • Ano, to je spravne. Klient active directory musi vedet, kde je domenovy radic. Pokud je DNS na domenovem radici, tak se to zda byt nadbytecne, ale musite si predstavit, ze DNS a domenovy radic mohou byt na ruznych fyzickych strojich.

    Muzete si network monitorem odchytit komunikaci mezi stanici a domenovym radicem. Pokud by se Vam to zdalo slozite, muzete se podivat na vypis komunikace pro pripad Windows 2000 a default GPO, ktery najdete na strankach MS.

    M.

    16. července 2012 9:19
    Moderátor
  • Ano, to je mi jasné. Všechny serverové služby pro doménu by měly být dynamicky registrovány v dns. Není mi jasné, zda si rozumíme. Mě jde pouze o dns záznamy klientů (koncových počítačů), přihlašujících se do domény. Jsou ty potřeba? Ty mají pokud vím jen A a PTR záznam a nevypadá to, že by je server někdy podle těchto záznamů hledal. Jsou nějaké služby, které potřebují záznamy koncových stanic? Co kdybych úplně zakázal registraci koncových stanic v dns? Fungovala by i potom všechno bez omezení (samozřejmě dns záznamy serverů by zůstaly, aby je klienti mohli lokalizovat)?
    16. července 2012 15:41
  • DNS je provazane s AD, takze se nejedna jen o klasicke DNS. A co aplikace GPO na stanice?

    Mimochodem, Vy mate multihome domenovy kontroler?

    Pripada mi, ze si zbytecne komplikujete zivot.

    M

    PS: Nakonec si muzete vyzkouset sam, jak se bude system chovat...


    16. července 2012 19:49
    Moderátor
  • Já to víceméně zkoušel při instalaci, kdy klienti neměli přístup k aktualizaci dns a GPO fungovalo dobře. Však o GPO se stará sama stanice, ze které se připojuje k serveru, ne naopak (nebo se mýlím?). Pokud myslíte multihome tcp/ip multihomem, tak ne.
    16. července 2012 21:57
  • Multohomem myslim dve sitove karty na domenovem radici. Neni prilis jasne, jak jsou nakonfigurovane subnety.
    17. července 2012 7:28
    Moderátor
  • Se obavam, ze to co chcete, nelze.

    Pokud spravne chapu princip AD, tak DNS suffix (DNS domena) rika stanici, kde ma v zaznamech DNS serveru hledat. Tj jsa clenem domenawindows.organizace hleda stanice zaznamy pror DC servery v _msdcs, _tcp, _sites, atp VE SVE DNS DOMENE.

    Ale vy chcete, aby stanice mela DNS suffix oddeleni2.organizace a presto hledala DC servery v DNS domene domenawindows.organizace. Se obavam, ze to neni mozne. Bude je hledat v oddeleni2.organizace  DNS serveru, ktere tam logicky nebudou.

    Mozna by tam sly tyto zaznamy dodelat rucne nebot DC servery si je i nadale budou registrovat jen ve sve vlastni domene domenawindows.organizace. Ale rozhodne to neni nic podporovaneho.

    Spravne reseni je jeden forest, vice domen. Nebo pro rozlisovani umisteni stanic pouzivejte IP sit, ktera muze byt samozrejme pro kazdou organizaci jina. Staci mit jen spravne TCP/IP routing

    17. července 2012 9:33