Как можно жестко связать имя сайта с IP-адресом на контроллере домена?

Question

Игнат

dns , active-directory

Как можно жестко связать имя сайта с IP-адресом на контроллере домена?

Добрый день! У нас в Active Directory функционируют два контроллера домена, оба настроены как глобальные каталоги. Все процессы, включая репликацию и обновление политик, работают без сбоев, и система продолжает функционировать, даже когда один из контроллеров отключен. В сетевых настройках обоих контроллеров в качестве шлюза установлен роутер. Первый DNS сервер — это другой контроллер, второй DNS сервер — это сам контроллер. На первом контроллере размещен сайт-заглушка и RDWeb для восстановления паролей. Однако клиенты, почему-то, предпочитают подключаться через второй контроллер, о чем я пока не занимался анализом. В результате, второй контроллер обращается к собственному IP-адресу при попытке открыть сайт и, соответственно, не находит его. Я попытался указать, что домен находится на первом контроллере, добавив соответствующие записи везде, включая роутер. Однако стабильность работы все еще оставляет желать лучшего. У меня появилась идея жестко указать IP-адрес первого контроллера для домена на втором, но я не уверен, как это сделать. Не могли бы вы подсказать, как лучше поступить в данной ситуации?

9 апреля 2025 г. 10:55

Ответы на вопрос 3

Похожие вопросы

Answer 1

Жесткая связь имени сайта с IP-адресом на контроллере домена может быть достигнута несколькими способами. В вашем случае, где у вас есть два контроллера домена и проблемы с разрешением DNS, вам необходимо убедиться, что DNS-записи правильно настроены и что клиенты используют правильные серверы DNS. Вот несколько шагов, которые вы можете предпринять:

1. **Проверка и корректировка DNS-записей**:
- Убедитесь, что на первом контроллере (где размещен сайт) существует корректная запись A (или AAAA, если используется IPv6) для сайта. Эта запись должна соответствовать IP-адресу первого контроллера.
- На втором контроллере также проверьте, есть ли записи для сайта и правильное ли у них значение. Если необходимо, добавьте или исправьте записи.

2. **Настройка DNS-зоны**:
- Убедитесь, что зона DNS, содержащая записи для вашего сайта, настроена на оба контроллера. Они должны быть настроены для репликации, чтобы изменения сразу были доступны на обоих контроллерах.

3. **Настройка приоритетов DNS-серверов на клиентских машинах**:
- Убедитесь, что клиентские машины используют в качестве первичного DNS-сервера первый контроллер. Это можно сделать через настройки DHCP или вручную на каждом клиенте.
- Если клиенты по каким-то причинам используют второй контролер, убедитесь, что сначала идет IP-адрес первого контроллера.

4. **Использование статических записей в файле hosts** (временное решение):
- Вы можете добавлять статические записи в файл `hosts` на клиентских машинах, указав соответствие имени сайта и IP-адреса первого контроллера. Однако это не рекомендуется как постоянное решение, так как требует ручного обновления на всех клиентах.

5. **Фильтрация запросов на контроллерах**:
- В настройках DNS на втором контроллере можно настроить условные пересылки или отказаться от разрешения определённых запросов к своему IP-адресу, если это необходимо, но это может создать дополнительные сложности.

6. **Мониторинг и аудит DNS-запросов**:
- Используйте средства для мониторинга DNS-запросов и просмотра, какие именно запросы идут на второй контролер. Это поможет вам лучше понять, почему клиенты обращаются именно к нему.

Следуя этим шагам, вы сможете улучшить разрешение имен среди ваших контроллеров домена и минимизировать проблемы с доступом к сайту. Если после всех этих шагов проблема не решится, возможно, потребуется более глубокий анализ логов и сетевого трафика.

Answer 2

не надо смешивать домен AD и интернет домен. Лучше, если ваш домен internet.ru - AD поднять например на corp.internet.ru. Или office.internet.ru 
 И не надо будет развлекаться с вашими привязками... 
 
 Как вариант - поднять на всех контроллерах веб сервер, на нем заглушку с редиректом на отдельный www.internet.ru на отдельном сервере....

Answer 3

Можно запретить второму КД через регистрировать свой IP с именем, совпадающим с именем домена (и при необходимости - удалить уже существующую запись вручную). Проще всего, IMHO, это сделать в локальной политике этого КД. Нужный параметр политики - Административные шаблоны/Система/Сетевой вход в систему/DNS-записи контроллеров доменов не регистрируемые контроллерами доменов: там в строке параметра дожен присутствовать элемент LdapIPpAddress. Только вот, не забыть бы ещё сделать нужные испавления при добавлении нового КД - рано или поздно это понадобится. Поэтому - документируйте. 
 
 Но лучше сделать, как написал в своем ответе Руслан Федосеев - дать сайту с RDWeb отдельное имя, чтобы наверняка избежать конфликта с автоматически регистрируемыми записями.