none
Active Directory: Hub and spoke topology RRS feed

  • Общие обсуждения

  • Доброго времени!

    Коллеги, прошу совета в решении проблемы добавления клиентских операционных систем в домен. Домен географически распределенный, топология звезда: в центре звезды центральный сайт, лучи - региональные сайты. В каждом региональном сайте 2 контроллера Win 2012r2. SRV записи(мнемоники) в DNS внесены только для контроллеров центрального сайта. Сетевого коннективити между контроллерами регионов нет, репликация только с центральным сайтом.

    Проблема в том, что клиентские ОС из подсети имеющей доступ к региональным контроллерам, но не имеющей доступа к центральным контроллерам, не вводятся в домен (WinXP на других пока не тестировал). Проблем с разрешением имен нет. В настоящий момент проблема решена разрешением трафика от клиентской ОС до контроллеров центрального сайта, в этом случае проблемы с вводом в домен не наблюдается. При недоступности центрально сайта добавление в домен невозможно.

    Есть ли возможность, не открывая доступ клиентских компов из региона к центральному сайту, добавлять компьютеры в домен, используя локально региональные контроллеры?

    Заранее спасибо.


    www.it2web.ru




    6 сентября 2016 г. 15:02

Все ответы

  • добрый вечер.

    объясните, пожалуйста, подробнее про srv-записи:

    "SRV записи(мнемоники) в DNS внесены только для контроллеров центрального сайта"

    6 сентября 2016 г. 17:15
  • _kerberos._tcp.dc._msdcs.domain.local

    _ldap._tcp.dc._msdcs.domain.local

    _ldap._tcp.GUID.domains._msdcs.domain.local

    _ldap._tcp.gc._msdcs

    _ldap._tcp.ForestDNSZones.domain.local

    _ldap._tcp.DomainDNSZones.domain.local

    В перечисленных меcтах есть записи только для контроллеров центрального сайта. Региональным контроллерам политикой запрещено регистрировать записи в вышеперечисленных местах.


    www.it2web.ru



    • Изменено StandRoot 6 сентября 2016 г. 18:29
    6 сентября 2016 г. 18:03
  • удаляя основные записи, по которым клиенты находят контроллеры домена, почему вы думаете, что у вас при этом должны нормально вводиться клиенты в домен?

    https://support.microsoft.com/ru-ru/kb/247811

    • Изменено Egor Vasilev 6 сентября 2016 г. 18:26 - добавил ссылку
    6 сентября 2016 г. 18:20
  • Как я писал выше, сетевой доступности между региональными контроллерами нет, т.е. контроллер из Региона1 недоступен контроллеру из Региона2 - соответственно нет смысла (как я вижу) через dns-запросы выдавать Региону1 контроллеры Региона2 или Региона 15, запрос просто не пройдет. На основании этого записи региональных контроллеров в вышеприведенных местах не добавлены. Замечу, что всех остальных местах srv-записи для региональных контроллеров присутствуют (в том числе имею ввиду все подзоны _sites в _msdcs).

    Такую схему предложил и внедрил сторонний подрядчик. Хочу понять насколько она жизнеспособна в разрезе моей проблемы и возможных будущих.


    www.it2web.ru






    • Изменено StandRoot 6 сентября 2016 г. 18:47
    6 сентября 2016 г. 18:36
  • я понимаю, но вручную ничего изменять не нужно и уж тем более основные днс-записи.

    В зависимости от топологии AD сама понимает какие КД ближе, вам нужно просто прописать корректные днс-серверы в сетевых настройках клиентов и настроить сайты в AD

    Почитайте:

    Общее представление о сайтах, подсетях и связях сайтов

    Обзор оснастки "Active Directory — сайты и службы"



    • Изменено Egor Vasilev 6 сентября 2016 г. 19:01
    6 сентября 2016 г. 18:49
  • * Внес изменения в первый пост.

    На клиентах в качестве dns-серверов указаны ближайшие контроллеры (т.е.контроллеры своего региона).

    Подсети привязаны к сайтам, тут есть понимание  :).

    И тем не менее, основные dns-записи указывают на контроллеры центрального сайта - это факт и это сделано (видимо не просто так :) ).

    Пока так и не получил ответ о вводе в домен при недоступности центрального сайта. Видимо, не до конца понимаю работу DCLocator'а...


    www.it2web.ru

    6 сентября 2016 г. 19:05
  • Скажите, а кд в филиале имеют нормальную связь с кд в центральном офисе?

    Также на любом пк в филиале выполните команду: echo %logonserver%

    пк уже должен быть введен в домен к этому моменту. Посмотрите какое имя сервера вернет команда и скажите - это сервер филиала или центрального офиса?

    6 сентября 2016 г. 19:07
  • Да, контроллеры филиала имеют нормальную связь с контроллерами в центральном офисе.

    >>Также на любом пк в филиале выполните команду: echo %logonserver%

    к сожалению такую информацию с клиента могу получить только завтра. Выполнил "echo %logonserver%" на региональном контроллере: вывод вернул в качестве %logonserver% самого себя, т.е. NetBIOS имя этого регионального контроллера.

    Положу здесь текст ошибки, которая возникает при вводе компа в домен:

    Замечание: эта информация предназначена для сетевого администратора.

    Пожалуйста, сообщите эту информацию вашему сетевому администратору.

    Для удобства, она уже сохранена в файле "C:\WINDOWS\debug\dcdiag.txt". DNS успешно запросила запись ресурса размещения службы (SRV),

    используемой для выяснения размещения контроллера домена для домена "domain.local": Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.domain.local Этим запросом были идентифицированы следующие контроллеры домена: /*список контроллеров центрального сайта

    dc1.domain.local s9500dc07.domain.local s9500dc11.domain.local s9500dc04.domain.local s9500dc03.domain.local s9500dc09.domain.local s9500dc01.domain.local s9500dc10.domain.local s9500dc08.domain.local s9500dc06.domain.local s9500dc08.domain.local s9500dc02.domain.local dc2.domain.local К возможным причинам этой ошибки относятся: 1. Записи узлов (A), которые сопоставляют имя контроллера домена его

    IP-адресам утеряны или содержат неправильные адреса. 2. Котроллеры доменов, зарегистрированные в DNS не подключены к сети или

    не запущены.

    По пукту 2:

    "2. Котроллеры доменов, зарегистрированные в DNS не подключены к сети или

    не запущены."

    А, поскольку,сетевого доступа нет, получаю невозможность ввода в домен. Правильно ли я мыслю?



    www.it2web.ru





    • Изменено StandRoot 6 сентября 2016 г. 19:32
    6 сентября 2016 г. 19:16
  • _kerberos._tcp.dc._msdcs.domain.local

    _ldap._tcp.dc._msdcs.domain.local

    _ldap._tcp.GUID.domains._msdcs.domain.local

    _ldap._tcp.gc._msdcs

    _ldap._tcp.ForestDNSZones.domain.local

    _ldap._tcp.DomainDNSZones.domain.local

    В перечисленных меcтах есть записи только для контроллеров центрального сайта. Региональным контроллерам политикой запрещено регистрировать записи в вышеперечисленных местах.


    www.it2web.ru



    Когда компьютер вводится в домен, то он ещё не знает, к какому сайту принадлежит: имя своего сайта компьютер получает от контроллера домена, а затем кэширует в реестре, но сам компьютер не пытается определить имя сайта на основе информации в разделе конфигурации. А  потому обнаружение имён контроллеров домена при вводе в домен идёт через общие, не привязанные ни к какому сайту записи - те самые, которые вы тут перечислили, и которые разрешили регистрировать только контроллерам домена в центральном офисе. Поэтому при вводе в домен компьютер может обнаружить только контроллеры домена центрального офиса.

    Слава России!

    7 сентября 2016 г. 1:07
  • вывод: очень странные ребята работали у вашего стороннего подрядчика и уж явно они не понимали что делают. 

    разрешите всем контроллерам регистрировать записи и проверьте как все будет работать.

    7 сентября 2016 г. 6:33
  • >>вывод: очень странные ребята работали у вашего стороннего подрядчика и уж явно они не понимали что делают.

    Немного поясню: для упрощения ситуации я немного упростил схему подключения региона к центральному сайту. На самом деле у регионов еще много районных филиалов. Эти филиалы имеют сетевой доступ только до региональных контроллеров. Вот с такими компьютерами и возникают проблемы.

    Разработка такого решения была произведена без учета районных компов, т.е. такой задачи на момент разработки решения просто не было. И всплыла такая проблема уже сейчас в процессе эксплуатации.

    >>разрешите всем контроллерам регистрировать записи и проверьте как все будет работать.

    мм. Заманчиво, но боюсь это не совсем корректно..


    www.it2web.ru

    7 сентября 2016 г. 8:16

  • мм. Заманчиво, но боюсь это не совсем корректно..


    www.it2web.ru

    почему? Просто в таком случае проблема у вас останется - ПК не смогут вводить в домен
    7 сентября 2016 г. 8:32
  • Сейчас эта проблема решается разрешением трафика от проблемных подсетей к центральному сайту.

    Хотелось бы отказаться от такого решения.

    >>разрешите всем контроллерам регистрировать записи и проверьте как все будет работать.

    При такой настройке не получится так, что клиенты из Региона1 будут обращаться к контроллерам Региона15, с которыми нет связи? Или же  при недоступности такого контроллера клиент будет обращаться к следующему контроллеру (т.е. перебирать) и, в конце концов, подключиться к контроллеру, который сможет ответить? Тогда, если контроллеров, предположим 200, как долго он будет перебирать?


    www.it2web.ru

    7 сентября 2016 г. 8:57
  • с двумя сотнями кд я конечно же не тестировал варианты. Вообще не должно такого быть, чтобы клиент начинал подключаться к кд из других сайтов, при условии если конечно все настроено правильно.
    7 сентября 2016 г. 10:04
  • >>при условии если конечно все настроено правильно.

    Вот и хочется понять как правильнее сделать.


    www.it2web.ru

    7 сентября 2016 г. 11:24
  • разрешить регистрацию записей всем контроллерам, настроить сайты в соответствии с реальной физической топологией. 
    7 сентября 2016 г. 11:44
  • >>при условии если конечно все настроено правильно.

    Вот и хочется понять как правильнее сделать.


    www.it2web.ru


    Если вам не хочется разводить большое количество записей SRV для контроллеров домена, то у вас есть вариант использовать для ввода в домен Powershell - там, начиная, по крайней мере, с версии 2.0 в командлете Add-Computer, используемом для ввода в домен, есть параметр -Server, позволяющий указать используемый для ввода в домен контроллер. На XP Powershell 2.0 ставится из Windows Management Framework Core package, на Vista тоже надо ставить отдельно (никогда не интересовался, как), а начиная с Win7 эта (или более старшая) версия Powershell есть в дистрибутиве.

    Слава России!

    8 сентября 2016 г. 22:32
  • Да, пробовали такой вариант и через пошик и при помощи netdom. Результатом выполнения обоих команд ошибка "Указанный домен не найден".


    www.it2web.ru

    12 сентября 2016 г. 6:39