ARUBA INSTANT WI-FI: ПРОСТІ, ПОТУЖНІ, ДОСТУПНІ
Якщо сервер «загубився»
Через що ж виникає проблема? Щоб в цьому розібратися, необхідно реконструювати події.
Пошук сервера DNS
При запуску Dcpromo для настройки додаткового контролера домену програма виводить діалогове вікно Network Credentials. У ньому запрошуються ім'я, домен і пароль облікового запису, що володіє достатніми повноваженнями для додавання контролерів домену в існуючий домен (в нашому випадку, acme.com). Далі Dcpromo звертається до контролера домену acme.com і намагається зареєструватися в домені з цими ім'ям і паролем. Але спочатку програмою Dcpromo потрібно знайти первинний контролер домену.
Щоб зрозуміти, до якого сервера DNS звертається конкретна система, досить з командного рядка виконати команду:
Проблеми з аутентифікацією в AD
Nslookup також може видати подібне повідомлення, якщо є проблеми з сервером DNS, на який налаштований клієнт DNS:
Тепер спробуємо за допомогою Nslookup змоделювати процес реєстрації на локальному контролері домену. Для цього необхідно знати ім'я домену та ім'я сайту AD. Принаймні один сайт є завжди: при створенні першого контролера домену в лісі програма Dcpromo створює сайт, названий за замовчуванням Default-First-Site-Name. З командного рядка слід викликати Nslookup. У запрошенні потрібно ввести дві команди, використовуючи запропонований синтаксис:
Якщо команда введена правильно, результат буде подібний до того, який зображений на Екрані 1. Якщо не вийшло - не варто турбуватися, врешті-решт, ми ж займаємося усуненням неполадок. Але якщо ці команди не спрацювали, тоді і Dcpromo не зможе виконати реєстрацію в домені. В цьому випадку Dcpromo звертається до сервера DNS: «Розкажи мені про всі існуючі для acme.com контролерах доменів». Для емуляції цього запиту можна скористатися Nslookup:
Але якщо перший запит зазнав невдачі, ймовірно, з другим відбудеться те ж саме, причому система видасть повідомлення типу ns1.yourisp.com can not find kerberos._tcp.dc._msdcs. acme.com: Non-existent domain (ns1.yourisp.com не може виявити kerberos._tcp.dc._msdcs.acme.com: домену не існує).
Причина більшості проблем тестових мереж полягає в тому, що ім'я домену AD (в нашому випадку acme.com) збігається із зареєстрованим ім'ям домену в Internet, т. Е. Виникає конфлікт імен. Щоб зрозуміти причини того, що відбувається, слід згадати, які дії виконувалися під час створення першого контролера домену в тестовому лісі AD.
причини неполадок
Потім Dcpromo повідомляє знайденому сервера Unix: «Я збираюся записати в область динамічного DNS (DDNS) кілька записів SRV. Чи не заперечуєте? »Сервер Unix відповідає:« Ні за що! Я тебе знати не знаю і не дозволю записувати нічого в мою зону! »Зрозуміло, що така відповідь призводить Dcpromo в замішання.
Замість того щоб повідомити, що знайдений сервер DNS домену acme.com не дозволяє виконати оновлення, Dcpromo намагається обдурити і повідомляє, що сервер DNS для acme.com не найден. При цьому Dcpromo пропонує альтернативу: «Чи не бажаєте налаштувати сервер DNS для цього домену?» Ви, звичайно, погоджуєтеся, радіючи, яка прекрасна програма Dcpromo, як багато вона вміє робити. Dcpromo налаштовує майбутній контролер домену сервером DNS, створює на сервері зону acme.com, налаштовує цю зону для установки acme.com і перезапускає комп'ютер.
Саме в цей момент і починаються проблеми.
Реєстрація в AD і незалежної обробки запитів DNS
Спантеличений Dcpromo запитує, що робити? Замість того щоб повідомити, що знайдений сервер не дозволяє динамічне оновлення, Dcpromo повідомляє про неможливість знайти сервер DNS для домену acme.com. Потім Dcpromo пропонує встановити служби сервера DNS на тому сервері Unix в Internet і налаштувати його в якості сервера DNS для локального домену acme.com. Більшість користувачів приймають цю пропозицію, і, як я вже говорив, тут-то і починаються проблеми.
Під час налаштування локального сервера DNS програма Dcpromo створює зону з ім'ям, що збігається з ім'ям домена, - в нашому прикладі, acme.com. Таким чином, після створення нового домену AD комп'ютер починає виконувати дві функції: він є одночасно першим контролером домену і сервером DNS для домену. Але оскільки Dcpromo не повідомляє програмного забезпечення контролера домену, що програмне забезпечення сервера DNS працює на тому ж комп'ютері, контролер домену не може знайти сервер DNS, який би допускав динамічне оновлення для acme.com.
Іншими словами, Dcpromo налаштовує службу сервера DNS і створює зону acme.com, але не повідомляє стека TCP / IP, що при пошуку сервера DNS необхідно звертатися до самого себе. Сервер DNS функціонує, але жоден комп'ютер, включаючи і той, на якому він працює, «не знає», що при пошуку домену в комплекті з комп'ютером необхідно звертатися в першу чергу. Ось і виходить, що Dcpromo виконує базову настройку домену, а потім, з дозволу користувача, перезапускає комп'ютер.
В результаті після перезавантаження комп'ютерах тера його конфігурація DHCP або статична конфігурація повідомляють комп'ютера, що треба використовувати якийсь сторонній сервер DNS - можливо, один з серверів Internet. У цей момент починає роботу служба Netlogon.
Але коли стек TCP / IP контролера домену acme.com вказує на сервер DNS, відмінний від самого себе, запит до первинного сервера DNS закінчується виявленням якогось сервера DNS в Internet. Тоді запит повертає в якості результату сервер DNS зареєстрованого домену acme.com. Коли Netlogon намагається внести зміни в записи працює під управлінням Unix сервера DNS, сервер не дозволяє внести ці зміни, і Netlogon повідомляє в системному реєстрі про подію ID 5773: The DNS server for this DC does not support dynamic DNS. Add the DNS records from the file '% SystemRoot% System32Config etlogon.dns' to the DNS server serving the domain referenced in that file ( «Сервер DNS для даного контролера домену не підтримує динамічний DNS. Додайте записи DNS з файлу '% SystemRoot % System32Config etlogon.dns 'на сервер DNS, що обслуговує вказаний в даному файлі домен. »).
Якщо не можна змусити робочу станцію зареєструватися в новому домені AD або якщо Dcpromo не працює на другому комп'ютері, який планувалося призначити другим контролером домену, перевірте системний журнал на присутність в ньому подій з ID 5773. Якщо Dcpromo повідомляє, що може налаштувати DNS, то наявність подій з ID 5773 в системному журналі говорить про те, що налаштування стека TCP / IP для контролера домену адміністратору доведеться виконати самостійно.
Для більшої впевненості необхідно запустити вбудований модуль DNS в Microsoft Management Console (MMC), двічі клацнути мишею на значку сервера, відкрити папку Forward Lookup Zones і двічі клацнути на папці домену. Якщо в папці міститься всього пара-трійка записів, і вкладені папки відсутні, це означає, що Netlogon не може виявити сервер DNS, що працює на тому ж ком-
пьютере, що і Netlogon. Параметри TCP / IP комп'ютера слід налаштувати так, щоб він був первинним сервером DNS, потім потрібно перезапустити Netlogon і знову перевірити папку домену. В папці домену тепер повинні знаходитися чотири вкладені папки, що містять відомості про місцезнаходження контролера домену.
Додавання другого контролера домену
Тепер наша інфраструктура DNS знаходиться в хорошій формі. Як же розширити її для великих мереж? Замість використання Dcpromo для виявлення проблем з DNS, переконаємося, що DNS функціонує нормально з самого початку.
Припустимо, що ми дійсно працюємо в корпорації acme.com і збираємося налаштувати AD для своєї компанії. Чи полегшить це наше завдання? Нам необхідно лише замінити існуючі сервери DNS серверами, які допускають динамічне оновлення, правильно? Можливо, і немає. AD зберігає інформацію в зоні DNS, яку, можливо, не захочеться робити доступною з Internet. Так що, навіть якщо домен повинен дійсно називатися acme.com, потрібно обдурити AD таким чином, щоб служба AD користувалася тільки внутрішніми серверами DNS і не намагалася звертатися до «зовнішнім», загальнодоступних серверів DNS. Така установка називається «роздвоєнням DNS», вона необхідна для забезпечення безпеки корпоративної мережі. Нехай провайдер корпорації Acme підтримує доступну публічно зону acme.com. Далі я розповім, як налаштувати тільки внутрішній DNS для AD acme.com.
По-перше, необхідно створити принаймні, один додатковий сервер DNS для мережі acme.com. На першому сервері треба сформувати стандартну первинну зону acme.com і дозволити в ній динамічні оновлення. На всіх наступних серверах необхідно налаштувати ac-me.com в якості стандартної вторинної зони. В якості вторинних серверів DNS в AD можна навіть використовувати сервери з Windows NT 4.0 і встановленим пакетом оновлень SP6a. Необхідно налаштувати стек TCP / IP на кожному комп'ютері і робочої станції в мережі так, щоб вони використовували один з внутрішніх серверів DNS як пріоритетне і інший внутрішній сервер - в якості альтернативного сервера DNS.
Тепер при запуску Dcpromo знайде той сервер DNS для домену acme.com, який потрібен, - внутрішній сервер DNS, і коректно налаштує AD. Робочі станції та сервери зможуть знаходити цей DC і реєструватися на ньому, а при запуску Dcpromo на іншій системі для створення додаткових контролерів домену Dcpromo буде працювати нормально. Після установки AD можна буде перетворити зону в AD-інтегровану.
Тепер, після налаштування параметрів DNS, залишається врахувати тільки одне. Якщо який-небудь користувач acme.com спробує знайти www.acme.com. він завжди буде знаходити зони на сервері внутрішньої мережі і не зможе вийти в загальнодоступний Internet. Так що необхідно вручну скопіювати записи про публічній зоні в зони внутрішньої мережі.
Поділіться матеріалом з колегами і друзями