Днс халва партнер или нет

Обновлено: 21.11.2024

В этом документе представлены рекомендации для частных зон, переадресации DNS и эталонных архитектур для гибридной DNS.

И людям, и приложениям проще использовать систему доменных имен (DNS) для обращения к приложениям и службам, потому что использование имени легче запомнить и оно более гибкое, чем использование IP-адресов. В гибридной среде, состоящей из локальной среды и одной или нескольких облачных платформ, часто требуется доступ к записям DNS для внутренних ресурсов из разных сред. Традиционно локальные записи DNS администрируются вручную с помощью авторитетного DNS-сервера, такого как BIND в средах UNIX/Linux или Active Directory в средах Microsoft Windows.

В этой статье описываются передовые методы переадресации частных DNS-запросов между средами, чтобы обеспечить возможность обращения к службам как из локальной среды, так и из Google Cloud.

Общие принципы

Узнайте о концепциях DNS в Google Cloud

При использовании DNS в Google Cloud важно понимать различные системы и службы, доступные в Google Cloud для разрешения DNS и доменных имен:

    — это служба, которая автоматически создает DNS-имена для виртуальных машин и внутренних балансировщиков нагрузки в Compute Engine. — это услуга, обеспечивающая обслуживание зоны DNS с низкой задержкой и высокой доступностью. Он может выступать в качестве авторитетного DNS-сервера для общедоступных зон, которые видны в Интернете, или для частных зон, которые видны только в вашей сети. — это высокодоступная усиленная служба, которая работает под управлением Microsoft Active Directory, включая контроллер домена. — это служба Google, которая не является частью Google Cloud и действует как открытый рекурсивный преобразователь DNS. является регистратором доменов для покупки, передачи и управления доменами в Google Cloud. Cloud Domains позволяет вам взаимодействовать с системой регистрации доменов через API. является регистратором доменов для покупки, передачи или управления доменами. Это служба Google, которая не является частью Google Cloud. Google Domains не предоставляет конечным пользователям доступ через API.

Определите заинтересованные стороны, инструменты и процессы

Когда вы думаете о разработке стратегии DNS в гибридной среде, важно ознакомиться с вашей текущей архитектурой и связаться со всеми заинтересованными сторонами. Сделайте следующее:

  • Определите и свяжитесь с администратором корпоративных DNS-серверов вашей организации. Попросите их предоставить информацию о конфигурациях, необходимых для сопоставления вашей локальной конфигурации с подходящей архитектурой в Google Cloud. Сведения о методах доступа к записям Google Cloud DNS см. в разделе Использование условной переадресации для доступа к записям DNS из локальной среды.
  • Ознакомьтесь с текущим программным обеспечением DNS и определите доменные имена, которые используются в частном порядке в вашей организации.
  • Определите контакты в сетевой группе, которые могут обеспечить правильную маршрутизацию трафика на облачные DNS-серверы.
  • Ознакомьтесь со своей стратегией гибридного подключения, а также с гибридными и многооблачными моделями и практиками.

Создайте простой и согласованный стандарт именования

Для именования локальных корпоративных ресурсов можно выбрать один из следующих шаблонов:

В остальной части этой страницы используются следующие доменные имена:

На следующей диаграмме показано это расположение.

Пример настройки доменного имени (нажмите, чтобы увеличить)

Для именования ресурсов в вашей сети виртуального частного облака (VPC) вы можете следовать рекомендациям, например, приведенным в руководстве по решениям. Рекомендации и эталонные архитектуры для проектирования VPC.

Выберите, где выполняется разрешение DNS

В гибридной среде разрешение DNS может выполняться в разных местах. Вы можете сделать следующее:

  • Используйте гибридный подход с двумя авторитетными системами DNS.
  • Сохраняйте локальное разрешение DNS.
  • Перенести все разрешения DNS в Cloud DNS.

Мы рекомендуем гибридный подход, поэтому в этом документе основное внимание уделяется этому подходу. Однако для полноты в этом документе кратко описаны альтернативные подходы.

Используйте гибридный подход с двумя авторитетными системами DNS

Мы рекомендуем использовать гибридный подход с двумя авторитетными системами DNS. В этом подходе:

  • Авторизованное разрешение DNS для вашей частной среды Google Cloud выполняется Cloud DNS.
  • Авторизованное разрешение DNS для локальных ресурсов размещается на существующих локальных DNS-серверах.

На следующей диаграмме показано это расположение.

Гибридная архитектура с двумя авторитетными системами DNS (нажмите, чтобы увеличить)

Этот сценарий является предпочтительным. Далее в этом документе рассматриваются следующие подробности:

  • Как настроить переадресацию между средами с помощью частных зон и переадресации DNS.
  • Как настроить брандмауэры и маршрутизацию.
  • Эталонные архитектуры, показывающие, как использовать одну или несколько сетей VPC.

Сохраняйте локальное разрешение DNS

Альтернативный подход — продолжать использовать существующий локальный DNS-сервер для официального размещения всех внутренних доменных имен. В этом случае вы можете использовать альтернативный сервер имен для переадресации всех запросов из Google Cloud через исходящую переадресацию DNS.

Этот подход имеет следующие преимущества:

  • Вы вносите меньше изменений в бизнес-процессы.
  • Вы можете продолжать использовать существующие инструменты.
  • Вы можете использовать списки запрещенных для фильтрации отдельных запросов DNS в локальной среде.

Однако у него есть следующие недостатки:

  • Запросы DNS из Google Cloud имеют большую задержку.
  • Ваша система зависит от подключения к локальной среде для операций DNS.
  • Возможно, вам будет сложно интегрировать очень гибкие среды, такие как группы экземпляров с автоматическим масштабированием.
  • Система может быть несовместима с такими продуктами, как Dataproc, поскольку эти продукты используют обратное разрешение имен экземпляров Google Cloud.

Перенести все разрешения DNS в Cloud DNS

Еще один подход – переход на Cloud DNS в качестве официальной службы для разрешения всех доменов. Затем вы можете использовать частные зоны и переадресацию входящего DNS для переноса существующего локального разрешения имен на Cloud DNS.

Этот подход имеет следующие преимущества:

  • Вам не нужно поддерживать высокодоступную локальную службу DNS.
  • Ваша система может использовать Cloud DNS для централизованного ведения журналов и мониторинга.

Однако у него есть следующие недостатки:

  • Запросы DNS из локальной среды имеют более высокую задержку.
  • Вашей системе требуется надежное подключение к сети VPC для разрешения имен.

Рекомендации по работе с частными зонами Cloud DNS

В частных зонах хранятся записи DNS, которые видны только внутри вашей организации. Общедоступные зоны в Cloud DNS в этом документе не рассматриваются. Общедоступные зоны охватывают общедоступные записи организации, такие как записи DNS для общедоступного веб-сайта, и они не так важны в гибридной конфигурации.

Используйте автоматизацию для управления частными зонами в хост-проекте Shared VPC

Если вы используете общие сети VPC в своей организации, вы должны разместить все частные зоны в Cloud DNS в хост-проекте. Все сервисные проекты автоматически получают доступ к записям в приватных зонах, подключенных к сети Shared VPC. Кроме того, вы можете настроить зону в сервисном проекте, используя межпроектную привязку.

На следующей диаграмме показано, как частные зоны размещаются в общей сети VPC.

Частные зоны, размещенные в общей сети VPC (нажмите, чтобы увеличить)

Если вы хотите, чтобы команды устанавливали свои собственные записи DNS, мы рекомендуем автоматизировать создание записей DNS. Например, вы можете создать веб-приложение или внутренний API, где пользователи устанавливают свои собственные записи DNS для определенных субдоменов. Приложение проверяет, соответствуют ли записи правилам вашей организации.

Кроме того, вы можете поместить свою конфигурацию DNS в репозиторий кода, например облачные репозитории исходного кода, в виде дескрипторов Terraform или Cloud Deployment Manager, и принимать запросы на вытягивание от команд.

В обоих случаях сервисный аккаунт с ролью администратора IAM DNS в хост-проекте может автоматически развернуть изменения после их утверждения.

Назначение ролей IAM по принципу наименьших привилегий

Используйте принцип безопасности с наименьшими привилегиями, чтобы предоставить право изменять записи DNS только тем сотрудникам вашей организации, которым необходимо выполнять эту задачу. Избегайте использования базовых ролей, поскольку они могут предоставлять доступ к ресурсам помимо тех, которые требуются пользователю. Cloud DNS предлагает разрешения и роли, которые позволяют вам предоставлять права на чтение и запись, специфичные для DNS.

Рекомендации по использованию зон переадресации DNS и политик сервера

Облачный DNS предлагает зоны переадресации DNS и политики DNS-серверов, позволяющие выполнять поиск DNS-имен между вашей локальной средой и средой Google Cloud. У вас есть несколько вариантов настройки переадресации DNS. В следующем разделе перечислены рекомендации по настройке гибридной DNS. Эти передовые методы проиллюстрированы в эталонных архитектурах для гибридной DNS.

Использование зон переадресации для запросов к локальным серверам

Поток трафика, использующий эту настройку, показан в эталонных архитектурах для гибридной DNS.

Используйте альтернативные серверы имен только в том случае, если весь DNS-трафик необходимо отслеживать или фильтровать локально, а также если частное ведение журнала DNS не соответствует вашим требованиям.

Примечание. Облачный DNS не синхронизируется автоматически с локальными серверами имен. Локальные серверы имен должны быть доступны для ответа на исходящие перенаправленные запросы.Как описано в разделе «Зоны переадресации DNS», Cloud DNS кэширует результаты исходящих переадресованных запросов на срок до 60 секунд или на время их TTL. Google Cloud не синхронизирует и не кэширует локальные записи; запросы перенаправляются по мере их поступления. Поэтому очень важно, чтобы локальные DNS-серверы были доступны и доступны, чтобы можно было разрешать локальные домены.

Используйте политики DNS-сервера, чтобы разрешить запросы из локальной среды

Поток трафика, использующий эту настройку, показан в эталонных архитектурах для гибридной DNS.

Откройте Google Cloud и локальные брандмауэры, чтобы разрешить DNS-трафик

Убедитесь, что DNS-трафик не фильтруется нигде в вашей сети VPC или в локальной среде, выполнив следующие действия:

Убедитесь, что ваш локальный брандмауэр пропускает запросы из Cloud DNS. Cloud DNS отправляет запросы из диапазона IP-адресов 35.199.192.0/19. DNS использует UDP-порт 53 или TCP-порт 53 в зависимости от размера запроса или ответа.

Убедитесь, что ваш DNS-сервер не блокирует запросы. Если ваш локальный DNS-сервер принимает запросы только от определенных IP-адресов, убедитесь, что включен диапазон IP-адресов 35.199.192.0/19.

Убедитесь, что трафик может проходить из локальной среды на ваши IP-адреса для переадресации. В экземплярах Cloud Router добавьте настраиваемое объявление маршрута для диапазона IP-адресов 35.199.192.0/19 в вашей сети VPC в локальную среду.

Используйте условную переадресацию для доступа к записям DNS из локальной среды

При использовании Cloud DNS для доступа к личным записям, размещенным на локальных корпоративных DNS-серверах, можно использовать только зоны переадресации. Однако в зависимости от того, какое программное обеспечение DNS-сервера вы используете, у вас может быть несколько вариантов доступа к записям DNS в Google Cloud из локальной среды. В каждом случае доступ к записям осуществляется с использованием входящей переадресации DNS:

Условная переадресация. Использование условной переадресации означает, что ваш корпоративный DNS-сервер перенаправляет запросы для определенных зон или субдоменов на IP-адреса пересылки в Google Cloud. Мы рекомендуем этот подход, поскольку он наименее сложен и позволяет централизованно отслеживать все DNS-запросы на корпоративных DNS-серверах.

Делегирование. Если ваша частная зона в Google Cloud является субдоменом зоны, которую вы используете локально, вы также можете делегировать этот субдомен серверу имен Google Cloud, настроив записи NS в своей зоне. Когда вы используете эту настройку, клиенты могут напрямую обращаться к IP-адресам переадресации в Google Cloud, поэтому убедитесь, что брандмауэр пропускает эти запросы.

Перенос зон. Cloud DNS не поддерживает передачу зон, поэтому вы не можете использовать передачу зон для синхронизации записей DNS с вашими локальными DNS-серверами.

Используйте пиринг DNS, чтобы избежать исходящей переадресации из нескольких сетей VPC

Не используйте переадресацию исходящего трафика на локальные DNS-серверы из нескольких сетей VPC, так как это создает проблемы с обратным трафиком. Google Cloud принимает ответы от ваших DNS-серверов, только если они направляются в сеть VPC, из которой исходит запрос. Однако запросы из любой сети VPC имеют тот же диапазон IP-адресов 35.199.192.0/19, что и источник. Поэтому ответы не могут быть правильно перенаправлены, если у вас нет отдельных локальных сред.

На следующей диаграмме показана проблема, связанная с переадресацией исходящего трафика несколькими сетями VPC.

Проблемы с несколькими сетями VPC, выполняющими исходящую переадресацию (нажмите, чтобы увеличить)

Мы рекомендуем выделить одну сеть VPC для запросов к локальным серверам имен с использованием исходящей переадресации. Затем дополнительные сети VPC могут запрашивать локальные серверы имен, ориентируясь на назначенную сеть VPC с зоной пиринга DNS. Затем их запросы будут перенаправляться на локальные серверы имен в соответствии с порядком разрешения имен в назначенной сети VPC. Эта настройка показана в эталонных архитектурах для гибридной DNS.

Понять разницу между пирингом DNS и сетевым пирингом VPC

Сетевой пиринг VPC — это не то же самое, что пиринг DNS. Сетевой пиринг VPC позволяет экземплярам виртуальных машин (ВМ) в нескольких проектах связываться друг с другом, но не меняет разрешение имен. Ресурсы в каждой сети VPC по-прежнему следуют своему собственному порядку разрешения.

Напротив, с помощью пиринга DNS вы можете разрешить переадресацию запросов для определенных зон в другую сеть VPC. Это позволяет перенаправлять запросы в разные среды Google Cloud независимо от того, взаимосвязаны ли сети VPC.

Сетевой пиринг VPC и пиринг DNS также настраиваются по-разному. Для пиринга сети VPC обе сети VPC должны установить отношения пиринга с другой сетью VPC. Пиринг становится автоматически двунаправленным.

Если вы используете автоматически сгенерированные имена, используйте пиринг DNS для внутренних зон

Если вы используете автоматически сгенерированные имена для ВМ, созданные внутренней службой DNS, вы можете использовать пиринг DNS для переадресации имени проекта.внутренних зон другим проектам. Вы можете объединить все зоны .internal в центральный проект, чтобы сделать их доступными локально.

На следующей диаграмме показана эта установка.

Пиринг DNS в настройке сетки (щелкните, чтобы увеличить)

Если у вас возникли проблемы, следуйте инструкциям по устранению неполадок

Руководство по устранению неполадок Cloud DNS содержит инструкции по устранению распространенных ошибок, с которыми вы можете столкнуться при настройке Cloud DNS.

Эталонные архитектуры для гибридной DNS

В этом разделе представлены некоторые эталонные архитектуры для распространенных сценариев использования частных зон Cloud DNS в гибридной среде. В каждом случае как локальные ресурсы, так и записи и зоны ресурсов Google Cloud управляются в среде. Все записи доступны для запросов как с локальных хостов, так и с хостов Google Cloud.

Используйте эталонную архитектуру, соответствующую дизайну вашей сети VPC:

Гибридная архитектура с использованием одной общей сети VPC: используется одна сеть VPC, подключенная к локальной среде или из нее.

Гибридная архитектура с использованием нескольких отдельных сетей VPC. Несколько сетей VPC подключаются к локальным средам через разные VPN-туннели или вложения VLAN и совместно используют одну и ту же локальную инфраструктуру DNS.

Гибридная архитектура с использованием узловой сети VPC, подключенной к лучевым сетям VPC: используется сетевой пиринг VPC, чтобы центральная сеть VPC была подключена к нескольким независимым лучевым сетям VPC.

В каждом случае локальная среда подключается к сетям Google Cloud VPC с помощью одного или нескольких туннелей Cloud VPN, а также выделенного или партнерского межсоединения. Неважно, какой метод подключения используется для каждой сети VPC.

Гибридная архитектура с использованием одной общей сети VPC

Наиболее распространенным вариантом использования является одна общая сеть VPC, подключенная к локальной среде, как показано на следующей диаграмме.

Гибридная архитектура с использованием одной общей сети VPC (нажмите, чтобы увеличить)

Гибридная архитектура с использованием нескольких отдельных сетей VPC

Другой вариант для гибридных архитектур — наличие нескольких отдельных сетей VPC. Эти сети VPC в вашей среде Google Cloud не связаны друг с другом через сетевой пиринг VPC. Все сети VPC используют отдельные туннели Cloud VPN или вложения VLAN для подключения к вашим локальным средам.

Типичный вариант использования этой архитектуры – это когда у вас есть отдельные рабочие среды и среды разработки, которые не взаимодействуют друг с другом, но имеют общие DNS-серверы.

На следующей диаграмме показана эта архитектура.

Гибридная архитектура с использованием нескольких отдельных сетей VPC (нажмите, чтобы увеличить)

Гибридная архитектура с использованием узловой сети VPC, подключенной к распределенным сетям VPC

Еще один вариант — использовать Cloud Interconnect или Cloud VPN для подключения локальной инфраструктуры к единой узловой сети VPC. Вы используете сетевой пиринг VPC, чтобы связать эту сеть VPC с несколькими распределенными сетями VPC. В каждой распределенной сети VPC размещаются собственные частные зоны в Cloud DNS. Пользовательские маршруты в сетевом пиринге VPC, а также объявление настраиваемых маршрутов в Cloud Router обеспечивают полный обмен маршрутами и подключение между локальными и всеми распределенными сетями VPC. Пиринг DNS выполняется параллельно с подключениями сетевого пиринга VPC, чтобы обеспечить разрешение имен между средами.

На следующей диаграмме показана эта архитектура.

Гибридная архитектура с использованием узловой сети VPC, подключенной к распределенным сетям VPC (нажмите, чтобы увеличить)

Что дальше

  • Чтобы найти решения распространенных проблем, с которыми вы можете столкнуться при использовании Cloud DNS, см. раздел Устранение неполадок.
  • Чтобы найти рекомендации о том, как подойти и внедрить гибридную установку с использованием Google Cloud, см. Руководство по шаблонам и практическим решениям для гибридных и многооблачных сред.
  • Изучите эталонные архитектуры, схемы, учебные пособия и рекомендации по работе с Google Cloud. Посетите наш Центр облачной архитектуры.

Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.

Чтобы проверить настройки системы доменных имен (DNS), которые могут мешать репликации Active Directory, вы можете начать с выполнения базового теста, который проверяет правильность работы DNS для вашего домена. После выполнения базового теста вы можете протестировать другие аспекты функциональности DNS, включая регистрацию записей ресурсов и динамическое обновление.

Несмотря на то, что вы можете запустить этот тест базовой функциональности DNS на любом контроллере домена, обычно вы запускаете этот тест на контроллерах домена, которые, по вашему мнению, могут испытывать проблемы с репликацией, например контроллеры домена, которые сообщают идентификаторы событий 1844, 1925, 2087, или 2088 в журнале DNS службы каталогов просмотра событий.

Выполнение базового теста DNS контроллера домена

Базовый тест DNS проверяет следующие аспекты функциональности DNS:

  • Подключение. Тест определяет, зарегистрированы ли контроллеры домена в DNS, можно ли с ними связаться с помощью команды ping и есть ли возможность подключения по протоколу облегченного доступа к каталогам/вызову удаленных процедур (LDAP/RPC). Если проверка подключения на контроллере домена завершается неудачей, никакие другие тесты для этого контроллера домена не выполняются. Тест подключения выполняется автоматически перед запуском любого другого теста DNS.
  • Основные службы. Тест подтверждает, что следующие службы запущены и доступны на тестируемом контроллере домена: служба DNS-клиента, служба сетевого входа в систему, служба центра распространения ключей (KDC) и служба DNS-сервера (если служба DNS установлена ​​на контроллере домена). контроллер домена).
  • Конфигурация DNS-клиента. Тест подтверждает доступность DNS-серверов на всех сетевых адаптерах компьютера DNS-клиента.
  • Регистрации записей ресурсов. Тест подтверждает, что запись ресурса узла (A) каждого контроллера домена зарегистрирована по крайней мере на одном из DNS-серверов, настроенных на клиентском компьютере.
  • Зона и начало полномочий (SOA). Если на контроллере домена запущена служба DNS-сервера, тест подтверждает наличие доменной зоны Active Directory и записи ресурса начала полномочий (SOA) для доменной зоны Active Directory.
  • Корневая зона: проверяет наличие корневой (.) зоны.

Членство в Enterprise Admins или эквивалентное ему является минимальным требованием для выполнения этих процедур.

Для проверки основных функций DNS можно использовать следующую процедуру.

Чтобы проверить основные функции DNS:

На контроллере домена, который вы хотите протестировать, или на компьютере-члене домена, на котором установлены инструменты доменных служб Active Directory (AD DS), откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите «Пуск».

В меню "Начать поиск" введите "Командная строка".

В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите "Продолжить".

В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s: /DnsBasic /f:dcdiagreport.txt Замените фактическое различающееся имя, имя NetBIOS или DNS-имя контроллер домена для . В качестве альтернативы вы можете протестировать все контроллеры домена в лесу, введя /e: вместо /s:. Переключатель /f указывает имя файла, которое в предыдущей команде было dcdiagreport.txt. Если вы хотите поместить файл в место, отличное от текущего рабочего каталога, вы можете указать путь к файлу, например /f:c:reportsdcdiagreport.txt.

Откройте файл dcdiagreport.txt в Блокноте или аналогичном текстовом редакторе. Чтобы открыть файл в Блокноте, в командной строке введите notepad dcdiagreport.txt и нажмите клавишу ВВОД. Если вы поместили файл в другой рабочий каталог, укажите путь к файлу. Например, если вы поместили файл в папку c:reports, введите notepad c:reportsdcdiagreport.txt и нажмите клавишу ВВОД.

Прокрутите до сводной таблицы в нижней части файла. Обратите внимание на имена всех контроллеров домена, которые сообщают о состоянии «Предупреждение» или «Сбой» в сводной таблице. Попробуйте определить, есть ли проблема с контроллером домена, найдя подробный раздел разбивки по строке «DC: DCName», где DCName — фактическое имя контроллера домена.

Если вы видите, что требуются очевидные изменения конфигурации, внесите их соответствующим образом. Например, если вы заметили, что один из ваших контроллеров домена имеет явно неверный IP-адрес, вы можете исправить его. Затем повторите тест.

Чтобы проверить изменения конфигурации, повторно запустите команду Dcdiag /test:DNS /v с параметром /e: или /s: в зависимости от ситуации. Если на контроллере домена не включен протокол IP версии 6 (IPv6), следует ожидать, что часть теста проверки хоста (AAAA) не пройдет, но если вы не используете IPv6 в своей сети, эти записи не нужны.

Проверка регистрации записи ресурса

Контроллер домена назначения использует запись ресурса псевдонима DNS (CNAME), чтобы найти своего партнера по репликации исходного контроллера домена.Хотя контроллеры домена под управлением Windows Server (начиная с Windows Server 2003 с пакетом обновления 1 (SP1)) могут находить исходных партнеров по репликации, используя полные доменные имена (FQDN) или, если это не удается, имена NetBIOS, присутствие ресурса псевдонима (CNAME) запись ожидается и должна быть проверена на правильность функционирования DNS.

Вы можете использовать следующую процедуру для проверки регистрации записи ресурса, включая регистрацию записи ресурса псевдонима (CNAME).

Чтобы проверить регистрацию записи ресурса

  1. Откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите «Пуск». В меню «Начать поиск» введите «Командная строка».
  2. В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите «Продолжить». Вы можете использовать средство Dcdiag для проверки регистрации всех записей ресурсов, необходимых для определения местоположения контроллера домена, выполнив команду dcdiag /test:dns /DnsRecordRegistration.

Эта команда проверяет регистрацию следующих записей ресурсов в DNS:

  • псевдоним (CNAME): запись ресурса на основе глобального уникального идентификатора (GUID), которая определяет местонахождение партнера по репликации
  • хост (A): запись ресурса хоста, содержащая IP-адрес контроллера домена.
  • LDAP SRV: записи ресурсов службы (SRV), определяющие местоположение серверов LDAP.
  • GC SRV: записи ресурсов службы (SRV), определяющие местонахождение серверов глобального каталога.
  • PDC SRV: записи ресурсов службы (SRV), которые определяют местонахождение мастеров операций эмулятора основного контроллера домена (PDC).

Следующую процедуру можно использовать только для проверки регистрации ресурсной записи псевдонима (CNAME).

Чтобы проверить регистрацию записи ресурса псевдонима (CNAME)

  1. Откройте оснастку DNS. Чтобы открыть DNS, нажмите «Пуск». В поле «Начать поиск» введите dnsmgmt.msc и нажмите клавишу ВВОД. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что в нем отображается нужное действие, а затем нажмите "Продолжить".
  2. Используйте оснастку DNS, чтобы найти любой контроллер домена, на котором запущена служба DNS-сервера, где на сервере размещена зона DNS с тем же именем, что и у домена Active Directory контроллера домена.
  3. В дереве консоли щелкните зону с именем _msdcs.Dns_Domain_Name.
  4. В области сведений убедитесь, что присутствуют следующие записи ресурсов: запись ресурса псевдонима (CNAME) с именем Dsa_Guid._msdcs. и соответствующую запись ресурса хоста (A) для имени DNS-сервера.

Если запись ресурса псевдонима (CNAME) не зарегистрирована, убедитесь, что динамическое обновление работает правильно. Используйте тест в следующем разделе, чтобы проверить динамическое обновление.

Проверка динамического обновления

Если базовая проверка DNS показывает, что записей ресурсов в DNS не существует, используйте проверку динамического обновления, чтобы определить, почему служба сетевого входа в систему не зарегистрировала записи ресурсов автоматически. Чтобы убедиться, что доменная зона Active Directory настроена на прием безопасных динамических обновлений и регистрацию тестовой записи (_dcdiag_test_record), используйте следующую процедуру. Запись теста автоматически удаляется после теста.

Для проверки динамического обновления

  1. Откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите «Пуск». В меню «Начать поиск» введите «Командная строка». В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите "Продолжить".
  2. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s: /DnsDynamicUpdate Замените отличительное имя, имя NetBIOS или DNS-имя контроллера домена на . В качестве альтернативы вы можете протестировать все контроллеры домена в лесу, введя /e: вместо /s:. Если на контроллере домена не включен протокол IPv6, следует ожидать, что часть теста, связанная с записью ресурса узла (AAAA), завершится ошибкой, что является нормальным состоянием, когда IPv6 не включен.

Если безопасные динамические обновления не настроены, вы можете использовать следующую процедуру для их настройки.

Чтобы включить безопасные динамические обновления

  1. Откройте оснастку DNS. Чтобы открыть DNS, нажмите "Пуск".
  2. В меню «Начать поиск» введите dnsmgmt.msc и нажмите клавишу ВВОД. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что в нем отображается нужное действие, а затем нажмите "Продолжить".
  3. В дереве консоли щелкните правой кнопкой мыши соответствующую зону и выберите "Свойства".
  4. На вкладке "Общие" убедитесь, что тип зоны интегрирован с Active Directory.
  5. В разделе "Динамические обновления" выберите "Только безопасные".

Регистрация записей ресурсов DNS

Если записи ресурсов DNS не отображаются в DNS для исходного контроллера домена, вы проверили динамические обновления и хотите немедленно зарегистрировать записи ресурсов DNS, вы можете принудительно зарегистрировать их вручную, выполнив следующую процедуру. Служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов DNS, необходимые для размещения контроллера домена в сети. Служба DNS-клиента регистрирует запись ресурса узла (A), на которую указывает запись псевдонима (CNAME).

Читайте также: