各位先進大佬好
小弟是剛接 AD 沒多久之後又被叫去接 DNS 的菜鳥
想詢問一下我目前的理解跟設定是否有錯誤?
我們公司目前汰換過後的 ADDC 總共有三台
而有另外一台 Infoblox 的 DNS SERVER (所有對外 DNS、防火牆、跟其他分公司的連線,都掛在這台上面)
我在剛接手的時候看到 網域內的USER端 DNS 都是設定 Infoblox 為主要 DNS 而 ADDC 設為次要 DNS
那時候前輩交接下來是說因為所有對外服務都掛在 Infoblox 上 所以他要設為主要
但是大概去年開始會發生設定 Infoblox 為主要 DNS 時會無法讓USER端進入網域 (會顯示解析失敗)
而將 DNS 改成直接指向 ADDC 後就能正常進退網域
當時以為是因為 DNS 設定有問題才導致 (因為當時網域重建的時候 Infoblox 是直接從舊設定複製到新設定,當時建立的是 SECONDARY ZONE),後面自己邊查 GPT 跟官方說明書邊自己重建,將設定改為 Authoritative Zone 之後發現主要 DNS 設為 Infoblox 時就能夠正常進入網域,但是有發現無法產生新加入電腦的 A record
這部分也有問 AD 的廠商,他們是說這個設定很奇怪,但他們也不熟 Infoblox 不確定是否真的要這樣設,也有提到說 AD 以外的 DNS 應該都要設定為次要,而 USER 端應該都只指向到 AD 上,由 AD 去轉介到 Infoblox 上來連對外服務,但她不是很肯定,而我們的 Infoblox 因為機器買很多年,又沒有簽維護合約,後續設定都沒辦法請 Infoblox 廠商協助
目前我做的設定
三台 ADDC:
DNS 上三台 ADDC 互指,並且將 Infoblox 也設定在其中,分別為:主要 DNS 為 Infoblox,次要 DNS 為另外兩台 ADDC 及 127.0.0.1
在名稱伺服器中將 Infoblox 設定在其中,並且在區域轉送中設定 "只到列在 [名稱伺服器] 索引標籤上的伺服器
Infoblox:
建立了一個正向權威 ZONE (Authoritative ZONE)及一個反向權威 ZONE
在正向 Authoritative ZONE 裡面設定了三台 ADDC 及 Infoblox 的名稱伺服器,而 Infoblox 為 Primary,三台 ADDC 為 Ext Secondary
在 正向 Authoritative ZONE 的 Zone Transfers 及 Updates 選項中將 Set of ACEs 設定導向至三台 ADDC
在 Active Directory 選項中將三台 ADDC 設定進去
後續有自動產生了三台 ADDC 的 NS Record 及 SOA Record 紀錄,並且在 SUBZONES 區域中有自動產生了
USER 端:
主要 DNS:Infoblox
次要 DNS:ADDC
目前有用 GPT 稍微看一下,說是我這個設定有問題
但前輩說以前就這樣設定的,他們也沒特別研究過,所以不清楚 QQ
我現在應該要怎麼改設定才能讓整個架構變成正確的架構?
對外服務跟防火牆一樣只會掛在 Infoblox 上,避免所有服務都掛在 ADDC 上造成風險
再麻煩各位先進提供解惑
感謝
已邀請的邦友 {{ invite_list.length }}/5
架構說明
AD DNS Server (Domain Controller, DC/DNS)
負責 Active Directory Domain 的內部名稱解析,例如:
dc01.corp.local
fileserver.corp.local
userpc01.corp.local
通常是 Windows Server 搭配 AD DS (Active Directory Domain Services) 與 DNS 角色。
內部用戶端 (PC/伺服器) DNS 設定 → 指向 內部 AD DNS。
外部 DNS Server (Public DNS,例如 ISP、Google DNS、8.8.8.8、Cloudflare 1.1.1.1)
負責解析 Internet 公網名稱,例如:
mail.office365.com
AD DNS Server 通常設定「DNS Forwarder」,把內部無法解析的外部查詢,轉送到 外部 DNS。
範例:
Client 問 www.google.com → 內部 DNS 無此紀錄 → Forwarder → 外部 DNS → 回應結果。
這個回答類似廠商跟我講的架構
只是以前的就架構也能動 所以上面是不太想換架構 他們算是屬於 "這能運作 OK!" 的那種
除非你很懂infoblox否則不要動,因為之前的架構可能有做負負得正的調整,也就是配合非正規的做法因應的做法。除非找到之前所有相應的做法,還要知道怎麼改才是正確的才能動。
你照正規架構去動了,變成全部不能動,整個公司就慘了。
建議你架一台lab VM, 將相關的server 都放進去後測試到確定沒問題再動。prodution的server沒絕對把握不要做任何變動。
不過之前就是因為舊設定繼續用的時候發生問題才第一次調整了 infoblox 上的設定,不過改了之後雖然一部份正常了,但還有一部份有問題.....
已經傻眼到不知道該怎麼吐槽了,看起來就是找只摸Linux系統的人來建立的系統環境
微軟的AD在TCPIP的基礎上還是有想過,怎麼走非正規的方式維持他的基礎服務
用戶端DNS勉強可以這樣,但也是有低機會發生問題
上面的AI回覆已經是正解了,AD廠商的也是正解,
我反而比較好奇,哪個地方讓你有感覺到"所有服務都掛在ADDC上造成風險"?
在我眼裡看來,你們把對外與對內的DNS全部掛在Infoblox上,
難道你們的Infoblox有像ADDC一樣有互為備援與負載平衡的功能? 我也對Infoblox不熟
ADDC有三台的狀態下,那Infoblox應該也要有個三台?
ADDC在正常環境系下如果有三台,他是可以支援臨時死去兩台還能維持運作的
你們的Infoblox除了連維護合約都沒買了,你們有多買幾台Infoblox做備援嗎?
因為以前的組長吃過微軟AD的虧 所以對AD的信任比較差
加上以前舊AD掛掉蠻多次的 所以不敢把太多服務掛在AD上面
現在這三台是今年才剛換的新設備 但有大量舊的設定都在 Infoblox 上面 防火牆是有另外的 fortigate 只是他會串到 Infoblox 上
聽起來蠻像從頭到尾都沒找過真的有AD管理經驗的人來接手過
導致非常離譜的設定都出現了,那這樣AD只會更不穩定,所以也沒
辦法簡單去處理AD的問題,你現在只是接手歷史遺跡,從AD這麼重要
內部系統都這樣了,只能建議你找廠商來看了,那種連DNS都不確定
能不能"這樣"設定的廠商就別找了,換下一家。
AD的問題比用戶端還嚴重,沒人知道當初這個AD是否已經在錯誤的
DNS設定下架設起來的,如果是那問題就很難處理了,
找會檢查AD服務的廠商看會比較清楚到底哪些服務設定有問題
我爬了一下你的歷史發問,我還蠻常回復你的問題的,
但是後續回覆我應該要沒看到通知或者沒空回吧XD
也不知道那些問題你自己後來處理得如何
以前AD跟DNS那些設定都是公司剛成立的時候找來的組長設定的 (2008年) 但他已經離職了
新組長算是被甩鍋硬接的 他也很多都不知道怎麼搞 加上上面一直甩新的鍋給他 於是AD的鍋又甩到我身上了QQ
然後廠商是某A開頭的大廠 他們來的時候也是聽我講這些的時候一臉疑惑的問我為什麼要這樣設 這樣設是很奇怪的
不過現任組長是說以前就這樣設的 能動 就盡量不要修改太多 不然出問題沒人能扛
不過AD換新的時候廠商有建議AD上的DNS不要設Infoblox 不過當時因為還有其他問題 所以先照舊設定
之前的問題我大部分後面都有解決了 感謝大佬支援
現在幾乎還算是從0開始重新學架構跟設定的階段
又一堆設定都是從舊有的奇怪設定開始摸索的 所以有些認知有偏差再多見諒QQ
iThome鐵人賽
看影片追技術