지점의 DNS 및 Active Directory 구성

현재 현장 서비스가없는 지점이 있으며이를 변경하고 싶습니다. 가장 큰 목표는 일부 파일 서버를 설정하는 것이지만 빠른 로그인 및 DNS 확인도 환영합니다.

별도의 서브넷 / VLAN에서 일부 VM을 사용하여 실험을하고 있으므로 포리스트와 도메인이 있다고 가정 해 보겠습니다 domain.com.

Office서브넷 192.168.1/24과 단일 기본 DNS 영역 이있는 단일 사이트 가 있습니다domain.com
TestSite서브넷이 있는 보조 사이트 추가192.168.100/24
192.168.100DNS에서 역방향 조회 영역 생성
Branch-DC01IP 주소로 Server 2012를 실행 하는 VM을 만들었습니다.192.168.100.1
domain.com회원으로 추가
설치된 AD DS읽기 전용 도메인 컨트롤러 (RODC)에서와 같이TestSite
의 주 DNS서버 Branch-DC01.domain.com는127.0.0.1
새 서버에 대해 DHCP 범위를 설정하고 항상 DNS를 업데이트하도록 DHCP에 대해 구성
생성 된 Branch-PC01VM은 윈도우 8 실행에 추가domain.com
Branch-PC01192.168.100.20DHCP, DNS 서버 192.168.100.1, 정방향 조회 영역에있는 구성원에 대한 항목 의 IP 주소가 domain.com있지만 역방향 조회 영역에는 없습니다 (중요?)
에 Branch-PC01실행 nslookup domain.com- 결과의 주요의 IP 주소로 돌아온 DCs로부터 Office사이트 ( 192.168.1서브넷)

이제 이것은 내 마음에 맞지 않습니다-돌아 오지 않아야 192.168.100.1합니까? 아니면 전체 개념을 잘못 이해하고 있습니까? 그리고 어떻게 로그온이 더 빨라야합니까?

별도의 DNS 영역이 필요합니까 (필요하지 않은 경우 만들고 싶지 않은 하위 도메인이없는 경우 어떻게 작동합니까)?

내가 지적 할 수있는 어떤 아이디어 나 기사도 훌륭 할 것이다. 나는 많은 TechNet 기사를 읽었으며 더 현명한 사람은 아닙니다.

감사

최신 정보

@TheCleaner와 @ charleswj81 덕분에 많은 노력에 감사드립니다.

방금 nltest를 시도했지만 결과는 지점 DC 및 클라이언트 PC와 동일합니다.

U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com
           DC: \\Branch-DC01.domain.com
      Address: \\192.168.100.1
     Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb
     Dom Name: domain.com
  Forest Name: domain.com
 Dc Site Name: TestSite
Our Site Name: TestSite
        Flags: GC DS LDAP KDC TIMESERV DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE P
ARTIAL_SECRET WS DS_8
The command completed successfully

업데이트 2

DNS 항목을 정리하여 TestSite가있는 모든 _sites 컨테이너에 SRV 레코드 만 Branch-DC01있으므로 클라이언트를 다시 시작한 후에도 도움이되지 않습니다.
클라이언트에서 nltest :

`U :> nltest /dsgetdc:domain.com
```
       DC: \\DC01.domain.com

  Address: \\192.168.1.3

 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb

 Dom Name: domain.com
```
포리스트 이름 : domain.com

Dc 사이트 이름 : 사무실

우리 사이트 이름 : TestSite
```
    Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
```
DNS_FOREST FULL_SECRET WS

명령이 성공적으로 완료되었습니다`

— 우울
소스

먼저 지점 PC를 확인하고 실제로 어떤 DC가 사용자를 인증했는지 확인하십시오. cmd 행에서 다음을 실행하십시오 echo %LOGONSERVER%.. 사이트를 말할 때 ADS & S를 의미하고 지점에 별도의 사이트가 있다고 가정합니다.

— TheCleaner

@TheCleaner echo %LOGONSERVER%는 메인 사이트에서 메인 DC 중 하나의 호스트 이름으로 돌아 왔습니다. 예 서브넷이 지정된 별도의 사이트가 있고 TestSite-> Servers테스트 DC를 유일한 항목으로 볼 수 있습니다

— hyp

두 번 이상 테스트 했습니까? RODC에서는 캐시 된 로그인 정보를 사용하기 때문에 묻기 때문에 이것이 처음 / 처음 인 경우 인증 요청을 일반 DC로 전달합니다. 아 그리고 다른 DC는 적어도 2008 년입니까?

— TheCleaner

% LOGONSERVER %가 본사 DC 중 하나 일 때마다 클라이언트 PC를 다시 시작하고 로그 아웃 / 다시 로그인했습니다. DNS를 보면 지점 역방향 조회 영역의 모든 DC (지점 + 사무실)에 대해 NS 레코드가 생성 된 것 같습니다. 도움이 필요하십니까? 해당 영역에서 분기 DC를 제외한 모든 항목을 삭제하려고 시도했지만 다시 생성됩니다.

— hyp

@TheCleaner는 버전에 대한 답변을 잊었습니다. 주요 DC는 2x Server 2008 R2 + 1x Server 2012입니다

— hyp

한 사이트의 클라이언트가 다른 사이트의 DC에 대한 도메인의 DNS 확인을받는 것은 완전히 정상입니다. 이것은 도메인 정방향 조회 영역에 대한 모든 "(부모와 동일)"A 레코드 때문입니다. 모든 DC는 도메인의 라운드 로빈으로 표시됩니다.

DNS 확인 효율성에 가장 이상적이지 않으며 (일부 사이트를 사용할 수없는 경우 문제가 발생할 수 있음) 지오 태깅 된 DNS와 같은 항목을 설정하여이를 완화 할 수 있으며 이는 정상적인 동작입니다. 클라이언트가 DC, DC를 수신하면 응답하면 해당 DC는 사이트 및 영역 구성을 사용하여 DC를 적절한 영역으로 가져오고 클라이언트에게 해당 DC에 대한 추가 요청을 지시합니다. 클라이언트는 일단 로그온하면 해당 사이트를 캐시하고 향후 트랜잭션을 위해 주로 % LOGONSERVER %를 사용합니다.

— duct_tape_coder
소스