Почему DNS так важна для IP конфигурации клиентов

В сети Active Directory есть огромное количество подвижных компонент, которые нужно осознавать, чтоб выслеживать трудности, возникающие на контроллерах домена, серверах и рабочих станциях. Исходя из убеждений диагностики рабочих станций многие препядствия можно отследить до DNS IP адреса, настроенного в свойствах IP. Если DNS IP адресок неправильный, появляется много ошибок, которые будут неприметными, и ничто не показывает на настоящую причину трудности. Чтоб поглядеть, что пошло не так, также осознать, что происходит за сценой, в этой статье мы разглядим эти подвижные составляющие, чтоб избежать более всераспространенных заморочек. После чтения этой статьи вы будете лучше осознавать то, как ваши компы (и даже серверы) получают всю информацию, нужную им для прохождения проверки подлинности и получения доступа к сетевым ресурсам.

1-ый шаг рабочей станции

Во время загрузки операционная система делает шаги, нужные для получения главных файлов и характеристик Windows. Это производится boot.ini, ntoskrnl и другими файлами. Эти файлы только обеспечивают подабающее наличие конфигураций и последней загружаемой операционной системы на месте. Это включает системный реестр, файлы конфигурации и даже выбор подходящей операционной системы, если на компьютере установлено несколько систем.

После подготовки операционной системы компу необходимо настроить сеть. В большинстве организаций сетевые характеристики настраиваются при помощи DHCP. Для связи с DHCP ваш компьютер делает сетевое вещание для подключения к DHCP серверу. DHCP серверы уже внемлют эти запросы, они перехватывают эти запросы и отвечают на их.

Примечание: начиная с Windows 2000, если ни один DHCP сервер не отвечает (что значит, что в сети есть или один сервер, который недоступен, или вообщем нет серверов, способных ответить на этот запрос), компьютер автоматом настраивает собственный IP адресок. Это APIPA адресок, либо Automatic Private IP Address. APIPA спектр IP адресов представляет собой адреса от 169.254.0.1 до 169.254.255.254.

Когда компьютер ведет взаимодействие с DHCP сервером, он получает IP конфигурацию. Конфигурация IP, передаваемая большинством DHCP серверов клиентам, включает:

IP адресок

Маску сабсети

Основной шлюз

DNS IP адресок

WINS IP адресок

DNS имя домена

Если рабочая станция не получает правильные характеристики IP, такие как IP адресок либо маску сабсети, компьютер не сумеет вести взаимодействие с другими компьютерами в сети. Если задан неправильный основной шлюз, компьютер не сумеет вести взаимодействие с другими узлами за пределами своей сабсети, которая может не включать DNS сервер.

Если на компьютере юзер является локальным админом, он может поменять характеристики IP конфигурации вручную. Это поменяет любые характеристики, приобретенные с DHCP сервера, и в неких случаях может приводить к невозможности коммуникации компьютера с DHCP сервером. В конечном счете, компьютер может не иметь способности коммуникации со всеми остальными компьютерами в сети. Он также не сумеет подключиться к подходящему DNS серверу, если запись DNS сервера неверна для сети и домена Active Directory, в каком размещена рабочая станция.

2-ой шаг рабочей станции

После получения всей нужной инфы IP конфигурации компу необходимо отыскать и установить связь с контроллером домена в домене Active Directory. Заместо вещания этой исходной коммуникации, как в случае с установкой связи с DHCP сервером, рабочий стол устанавливает связь впрямую с настроенным у него DNS сервером для поиска контроллеров домена.

Рабочий стол связывается впрямую с DNS сервером и ждет от него ответа, содержащего информацию о контроллерах домена. Когда DNS сервер получает запрос с компьютера, он должен проанализировать полученную информацию.

DNS сервер оценивает, в какой сабсети находится рабочий стол, на базе IP адреса и маски сабсети, настроенной на нем.
DNS сервер должен также оценить, на каком веб-сайте Active Directory размещен этот рабочий стол, если веб-сайты настроены в DNS
DNS сервер должен оценить порядок контроллеров домена, которые он включит в ответ, основываясь на приоритете контроллеров домена, веб-сайтах и контроллерах домена, настроенных на внедрение для других веб-сайтов.

Итог, передаваемый DNS сервером десктопу, именуется DCLIST, и представляет собой иерархичный перечень контроллеров домена, основанный на аспектах анализа DNS. Вверху перечня DCLIST должны быть контроллеры домена для веб-сайта рабочего стола, а потом другие контроллеры доменов, не для этого веб-сайта.

DNS сервер также предоставляет и другие записи SRV (записи ресурсов служб – service resource records) десктопу, которые ему требуются. Сюда заходит KDC (Key distribution center for Kerberos) и DFS серверы (если они настроены в DNS).

Если рабочий стол не получает SRV записи, он не сумеет пользоваться никакими ресурсами Active Directory, так как единственным методом использования Active Directory является получение TCP, LDAP, DC и KDC SRV записей, предоставляемых DNS. Это не позволит работать Kerberos, групповой политике и другим коммуникациям с контроллерами домена из-за сбоя в Kerberos и LDAP.

3-ий шаг рабочей станции

После получения десктопом IP адреса контроллеров домена он подключается впрямую к первому в перечне контроллеру домена. Это должно быть резвое подключение, потому что контроллер домена должен быть на веб-сайте рабочего стола.

Если контроллер домена доступен, он ответит и в итоге будет установлена связь меж ним и десктопом. Рабочий стол предоставит информацию контроллеру домена, нужную для прохождения десктопом проверки подлинности в качестве участника домена.

После прохождения проверки подлинности рабочий стол получит подходящую информацию, такую как сценарии пуска, характеристики групповой политики и т.д. Она передается контроллером домена по защищенному каналу, доступ к которому предоставляется с контроллера домена через ресурс NETLOGON.

Высока возможность того, что рабочий стол, в конце концов, пройдет проверку подлинности, но будет использовать NTLMv2 либо NTLM. Kerberos употребляется исключительно в том случае, когда рабочий стол может получить KDC и другие SRV записи с DNS. И если Kerberos коммуникация с контроллером домена не работает, все функции Active Directory будут недосягаемы для рабочего стола.

Заключение

Как вы видите, характеристики DNS являются очень необходимыми для рабочих станций. Если какой-нибудь параметр на рабочей станции настроен ошибочно, непринципиально настроен он вручную либо при помощи DHCP сервера, рабочая станция не сумеет установить подходящую связь с DNS сервером либо контроллером домена Active Directory. По этой причине нужно обеспечить корректность опции DNS на всех компьютерах Windows, присоединенных к домену Active Directory. Без правильной конфигурации рабочий стол не будет использовать Kerberos, он не сумеет получить характеристики групповой политики и не сумеет использовать Active Directory подабающим образом, так как он не сумел связаться с DNS сервером для получения SRV записей, размещенных Active Directory для поиска AD ресурсов.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.