Как предотвратить регистрацию DNS записей для контроллеров домена в филиале?


Как я уже писал чуть ранее, по умолчанию контроллеры домена регистрируют свои DNS записи в общем пространстве имен DNS и в области, относящейся к конкретному сайту. Если клиент не может найти контроллер домена в своем локальном сайте (допустим, контроллер выключился), тогда клиент запрашивает общую часть пространства имен DNS. По умолчанию клиенту будет возвращена запись на контроллер в любом другом филиале, а не в центральном сайте, а это далеко не всегда лучший вариант в производственной среде.

Для того чтобы клиентам, не имеющим возможности подключиться к своему контроллеру  возвращались только записи контроллеров домена в центральных сайтах, необходимо настроить контроллеры домена в филиалах для регистрации записей DNS, относящихся к конкретному сайту.Чтобы выполнить это изменение, нам нужно будет изменить редактором  групповой политики объект Default Domain Controllers, и включить параметр “DC Locator DNS records not registered by the DomainControllers” по пути: Computer Configuration, Administrative Templates, System, Net Logon, DC Locator DNS Records и выполнить следующее изменение:

LdapIpAddress Ldap Gc GcIPAddress Kdc Dc DcByGuid Rfc1510Kdc Rfc1510Kpwd Rfc1510UdpKdc Rfc1510UdpKpwd GenericGc

Эти параметры подробно объяснены в «Windows Server 2003 Active Directory Branch Office Guide,» но по сути, они предотвращают регистрацию всех записей контроллеров домена, кроме записей, относящихся к сайту. Проблема в том, что данная настройка повлияет на все контроллеры домена, поэтому гораздо лучше будет изменить параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\DnsAvoidRegisterRecords на нужном контроллере. Можно включить эти же параметры, включив в групповой политике  настройку  “DC Locator DNS records not registered by the DCs” .

После применения этих изменений, общее пространство DNS имен (например, _ldap._tcp.) должно содержать SRV записи только для контроллеров, к которым не было применено ручное изменение реестра.

Подробности — в библиотеке Technet.

Предоставление клиентам возможности искать контроллер домена в следующем ближайшем сайте

Реклама

3 thoughts on “Как предотвратить регистрацию DNS записей для контроллеров домена в филиале?

  1. поэтому гораздо лучше применить эти изменения в локальной групповой политики на конкретном контроллере домена филиала, а не лезть в реестр. По-крайней мере в RSoP эти изменения будут видны.
    Либо для DC филиалов выделить в отдельную OU или включить в группу, к которой применить политику, настраивающую параметры DC Locator.

    • Нет, гораздо лучше в групповой политике, а не локальной. о чем я и написал, а кличи просто как справочная информация и как пример даны.
      » Можно включить эти же параметры, включив в групповой политике настройку “DC Locator DNS records not registered by the DCs” .»

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s