none
Работа сайтов AD и dns серверов RRS feed

  • Вопрос

  • Всем привет.

    Прошу помочь мне разрешить логический тупик.

    Имеется 7 кд на базе 2016 standart, а так же 1 домен в лесу с уровнями 2016.

    Так же в наличии 3 сайта spb,msc,dcp.

    В сайте spb находится 5 кд

    На сайте msc - 1 RODC

    На сайте dcp - 1 кд 

    С точки зрения серверов авторизации - всё работает корректно, все ПК в сайте авторизируются на КД в своём сайте.

    В dns сервере имеется 6 ns записей всех кд, кроме RODC.(5 кд из сайта spb и 1 кд из сайта dcp)

    nslookup domain.local выводит 6 записей.

    Если мы будем пинговать с рабочей станции domain.local то отвечает попеременно один из 6 ns серверов.

    Проблема в том, что из подсети рабочих станций (сайта spb) не видно КД в сайте MSK (нет маршрутизации между подсетями) и, соответственно, периодически, пинг на domain.local не проходит, т.к. отвечает ns сервер в сайте dcp. 


    Правильно ли настроен dns в таком случае?




    18 сентября 2019 г. 14:35

Ответы

  • Добрый день,

      Проблем с доменной авторизацией не будет, будет использоваться механизм привязки по сайтам. А пинг работает по round-robin, поэтому тупо перебирает все доступные записи.

    "в более крупных инфраструктурах может быть не видна половина кд" - так и есть, и пинг ведёт себя аналогично, и никаких проблем с авторизацией.

    19 сентября 2019 г. 7:39

Все ответы

  • А зачем вам ping именно на domain.local? Windows в своей работе по этому имени не обращается. По нему могут обращаться только сторонние клиенты LDAP, не умеющие искать серверы LDAP домена по записям SRV (чаще всего - какие-нибудь веб-приложения). Если у вас таких в сайте msc нет, то можете не заморачиваться.

    Слава России!

    18 сентября 2019 г. 14:44
  • А зачем вам ping именно на domain.local? Windows в своей работе по этому имени не обращается. По нему могут обращаться только сторонние клиенты LDAP, не умеющие искать серверы LDAP домена по записям SRV (чаще всего - какие-нибудь веб-приложения). Если у вас таких в сайте msc нет, то можете не заморачиваться.

    Слава России!

    Трудно сказать, парк пользователей достаточно большой, используется много ПО, работа которого завязана на доменную авторизацию. 

    Да и в целом не совсем понятно, каким образом данный кейс решается, в моём случае не видно только 1 КД(точнее ns сервер), в более крупных инфраструктурах может быть не видна половина кд...


    19 сентября 2019 г. 7:11
  • Добрый день,

      Проблем с доменной авторизацией не будет, будет использоваться механизм привязки по сайтам. А пинг работает по round-robin, поэтому тупо перебирает все доступные записи.

    "в более крупных инфраструктурах может быть не видна половина кд" - так и есть, и пинг ведёт себя аналогично, и никаких проблем с авторизацией.

    19 сентября 2019 г. 7:39