none
Сайты/службы и ДНС RRS feed

  • Вопрос

  • Господа, здравствуйте!

    Есть локальная задача, решение которой сталкивается с решением более глобальной задачи/проблемы/непонимания.

    Есть распределенная сеть. Условно 3 филиала, соединены между собой site2site VPN (трафик между подсетями ходит без ограничения). В каждом филиале есть КД, все КД между собой реплицируются - все ок. ПК всех филиалов видят друг друга и сервера без проблем - все прозрачно.

    В Сайтах и службах настроены подсети этих филиалов, в них указаны привязки к сайтам, в которых в свою очередь указаны сервера, относящиеся к этим сайтам.

    Есть задача добавить 4-ый филиал, но без site2site и без доступа ПК в основную сеть организации. Я сделал это так: Поднял в филиале сервер, настроил на нем софтовый клиент ВПН, подцепил его в сеть организации и ввел в домен как КД4 (RODC). А вот дальше я уже столкнулся вот с чем: при попытке ввода в домен филиального ПК он обращается к КД4 (RODC) за разрешением имени домена и получает в ответ, как я полагаю, не адрес этого КД4 (RODC) а адреса трех основных КД, которые недоступны этому ПК - ведь VPN есть только на самом сервере КД4. И эта ситуация в общем то повторяется и на остальных КД - я потестировал.

    Например на КД1 я трижды спрашиваю nslookup domain.local и трижды получаю разные ответы в виде адресов КД1..КД3. Аналогично и на КД4 (RODC). Это не было проблемой для 3-х филиалов соединенных site2site  - все друг друга видят, но стало проблемой для 4-го филиала, где в сеть организации смотрит только КД4 через впн. 

    В ДНС в зоне, конечно, же все три КД1..КД3 стоят как папки верхнего уровня и логично что на запрос приходит такой ответ. А можно ли это как-то все изящно обойти или нет решения и в четвертый филиал тоже придется строить полный ВПН доступный всех ПК филиала ? Что-то я в тупик зашел.

    Буду раз любым советам.

    3 января 2021 г. 21:03

Ответы

  • Например на КД1 я трижды спрашиваю nslookup domain.local и трижды получаю разные ответы в виде адресов КД1..КД3. Аналогично и на КД4 (RODC). Это не было проблемой для 3-х филиалов соединенных site2site  - все друг друга видят, но стало проблемой для 4-го филиала, где в сеть организации смотрит только КД4 через впн. 

    Предполагаю, проблема у вас из-за того, что клиент не может выяснить, в каком он сайте. Чтобы узнать имя сайта, клиент ищет в DNS лю,ой КД, зарегистрированный для всего домена и обращается к нему - а RODC себя там не регистрирует, он регистрируется только для своего сайта.

    Поиск, кстати, происходит не по имени (записи A) домена, а по не специфичным для сайта записям SRV. Поэтому с помощью nslookup проверить правильность поиска сложно (хотя можно, если просмотреть нужные записи SRV). Для проверки лучше использовать nltest.exe (на RODC она есть, а на клиента надо поставить RSAT): nltest /dnsgetdc:имя.домена - она покажет отдельно КД в сайте клиента и вне этого сайта. А имя сайта смотрится командой nltest /dsgetsite

    Если проблема - с определением имени сайта, то его можно задать вручную через реестр:

    Ключ: HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Netlogon\Parameters 
    Параметр (если нет - создать): SiteName 
    Тип значения параметра: REG_SZ (строка).

    После этого клиент будет искать КД сначала в своем сайте, и он должен найти RODC.

    PS Сервер DNS, к которому обращается клиент, указан в его сетевых настройках. К другим серверам DNS клиент не обращается (он использует только рекурсивные запросы)


    Слава России!



    • Изменено M.V.V. _ 4 января 2021 г. 2:49
    • Помечено в качестве ответа Dmitry 42 4 января 2021 г. 5:59
    4 января 2021 г. 2:46

Все ответы

  • ну так rodc на то и rodc что на нем нет возможности ввести пк в домен, создать пользователя итд. Зачем вам rodc в сайте 4? В чем идея отказа от s2s vpn?

    почему не добавить дочерний домен или и вовсе отдельный домен и не настроить траст? не ясна задача которую вы решаете и не понятно почему столь интересным способом вы это делаете


    The opinion expressed by me is not an official position of Microsoft

    3 января 2021 г. 21:32
    Модератор
  • На чем у вас сделан S2S?

    Я думаю, что все это можно реализовать простой маршрутизацией: клиенты филиала 4 знают где контроллеры домена в других филиалах, но клиенты других филиалов ничего не знают о филиале 4, за исключением контроллеров домена конечно.

    3 января 2021 г. 22:14
  • РОДЦ сам не может - это я знаю, он просто должен это все перенаправить на доступные ему КД. Поэтому дело не в том, что он РОДЦ.

    Филиал на "чужой" территории, на "чужих" серверах, но при этом в прикладном ПО необходима доменная аутентификация (прикладное ПО должно видеть пользователей моего домена), для этого их ПК надо ввести в домен.


    • Изменено Dmitry 42 4 января 2021 г. 1:23
    4 января 2021 г. 1:05
  • s2s сделан на микротах серии CloudCoreRouter.

    Дело не в том, что мы не можем сделать s2s - можем. Но пытаемся решить этот вопрос другим способом.

    Из контекста ответа, я понимаю, что варианта привязать конкретный ДНС к конкретному сайту нет ? Это невозможно ?

    4 января 2021 г. 1:08
  • Например на КД1 я трижды спрашиваю nslookup domain.local и трижды получаю разные ответы в виде адресов КД1..КД3. Аналогично и на КД4 (RODC). Это не было проблемой для 3-х филиалов соединенных site2site  - все друг друга видят, но стало проблемой для 4-го филиала, где в сеть организации смотрит только КД4 через впн. 

    Предполагаю, проблема у вас из-за того, что клиент не может выяснить, в каком он сайте. Чтобы узнать имя сайта, клиент ищет в DNS лю,ой КД, зарегистрированный для всего домена и обращается к нему - а RODC себя там не регистрирует, он регистрируется только для своего сайта.

    Поиск, кстати, происходит не по имени (записи A) домена, а по не специфичным для сайта записям SRV. Поэтому с помощью nslookup проверить правильность поиска сложно (хотя можно, если просмотреть нужные записи SRV). Для проверки лучше использовать nltest.exe (на RODC она есть, а на клиента надо поставить RSAT): nltest /dnsgetdc:имя.домена - она покажет отдельно КД в сайте клиента и вне этого сайта. А имя сайта смотрится командой nltest /dsgetsite

    Если проблема - с определением имени сайта, то его можно задать вручную через реестр:

    Ключ: HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Netlogon\Parameters 
    Параметр (если нет - создать): SiteName 
    Тип значения параметра: REG_SZ (строка).

    После этого клиент будет искать КД сначала в своем сайте, и он должен найти RODC.

    PS Сервер DNS, к которому обращается клиент, указан в его сетевых настройках. К другим серверам DNS клиент не обращается (он использует только рекурсивные запросы)


    Слава России!



    • Изменено M.V.V. _ 4 января 2021 г. 2:49
    • Помечено в качестве ответа Dmitry 42 4 января 2021 г. 5:59
    4 января 2021 г. 2:46
  • Спасибо большое за разъяснение!

    Похоже дело именно было в этом - я поправил сайты, подсети. Сейчас nltest дает правильные ответы. На RODC она сказала, что RODC является ее КД и правильно назвала сайт. Так же правильно выдала ответы на основных КД.

    Позвольте еще немного углубить вопрос.

    Сейчас ПК при вводе в домен обратиться к RODC, тот ему правильно ответит что для этого сайта (этой подсети) он является КД и введет его в домен. Но меня смущает что будет дальше - не получится ли, что прикладное приложение с этого ПК спросит "кто здесь за домен отвечает (по аналогии с nslookup)?" и наш RODC ему честно ответит, что это один из тех 3-х базовых КД, которые опять же недоступны при такой организации впн. В теории дальше я столкнусь с этой проблемой ?

    4 января 2021 г. 6:28
  • Сейчас ПК при вводе в домен обратиться к RODC, тот ему правильно ответит что для этого сайта (этой подсети) он является КД и введет его в домен. Но меня смущает что будет дальше - не получится ли, что прикладное приложение с этого ПК спросит "кто здесь за домен отвечает (по аналогии с nslookup)?" и наш RODC ему честно ответит, что это один из тех 3-х базовых КД, которые опять же недоступны при такой организации впн. В теории дальше я столкнусь с этой проблемой ?

    Это зависит от приложения. В большинстве известных мне приложений третьих фирм авторы не заморачиваются с реализацией поиска каталога LDAP (от AD приложениям обычно нужен именно он), а просят указать его имя в настройках.

    Слава России!

    4 января 2021 г. 13:02