Введение

В сети Active Directory есть множество подвижных компонентов, которые необходимо понимать, чтобы отслеживать проблемы, возникающие на контроллерах домена, серверах и рабочих станциях. С точки зрения диагностики рабочих станций многие проблемы можно отследить до DNS IP адреса, настроенного в свойствах IP. Если DNS IP адрес неверный, возникает много ошибок, которые будут незаметными, и ничто не указывает на истинную причину проблемы. Чтобы посмотреть, что пошло не так, а также понять, что происходит за сценой, в этой статье мы рассмотрим эти подвижные компоненты, чтобы избежать наиболее распространенных проблем. После прочтения этой статьи вы будете лучше понимать то, как ваши компьютеры (и даже серверы) получают всю информацию, необходимую им для прохождения проверки подлинности и получения доступа к сетевым ресурсам.

Первый шаг рабочей станции

Во время загрузки операционная система выполняет шаги, необходимые для получения основных файлов и параметров Windows. Это выполняется boot.ini, ntoskrnl и другими файлами. Эти файлы лишь обеспечивают должное наличие конфигураций и последней загружаемой операционной системы на месте. Это включает системный реестр, файлы конфигурации и даже выбор нужной операционной системы, если на компьютере установлено несколько систем.

После подготовки операционной системы компьютеру нужно настроить сеть. В большинстве организаций сетевые параметры настраиваются с помощью DHCP. Для связи с DHCP ваш компьютер выполняет сетевое вещание для подключения к DHCP серверу. DHCP серверы уже слушают эти запросы, они перехватывают эти запросы и отвечают на них.

Примечание: начиная с Windows 2000, если ни один DHCP сервер не отвечает (что означает, что в сети есть либо один сервер, который недоступен, либо вообще нет серверов, способных ответить на этот запрос), компьютер автоматически настраивает свой IP адрес. Это APIPA адрес, или Automatic Private IP Address. APIPA диапазон IP адресов представляет собой адреса от 169.254.0.1 до 169.254.255.254.

Когда компьютер взаимодействует с DHCP сервером, он получает IP конфигурацию. Конфигурация IP, передаваемая большинством DHCP серверов клиентам, включает:

IP адрес

Маску подсети

Основной шлюз

DNS IP адрес

WINS IP адрес

DNS имя домена

Если рабочая станция не получает правильные параметры IP, такие как IP адрес или маску подсети, компьютер не сможет взаимодействовать с другими компьютерами в сети. Если задан неверный основной шлюз, компьютер не сможет взаимодействовать с другими узлами за пределами собственной подсети, которая может не включать DNS сервер.

Если на компьютере пользователь является локальным администратором, он может изменить параметры IP конфигурации вручную. Это заменит любые параметры, полученные с DHCP сервера, и в некоторых случаях может приводить к невозможности коммуникации компьютера с DHCP сервером. В конечном счете, компьютер может не иметь возможности коммуникации со всеми остальными компьютерами в сети. Он также не сможет подключиться к нужному DNS серверу, если запись DNS сервера неверна для сети и домена Active Directory, в котором расположена рабочая станция.

Второй шаг рабочей станции

После получения всей необходимой информации IP конфигурации компьютеру нужно найти и установить связь с контроллером домена в домене Active Directory. Вместо вещания этой начальной коммуникации, как в случае с установкой связи с DHCP сервером, десктоп устанавливает связь напрямую с настроенным у него DNS сервером для поиска контроллеров домена.

Десктоп связывается напрямую с DNS сервером и ожидает от него ответа, содержащего информацию о контроллерах домена. Когда DNS сервер получает запрос с компьютера, он должен проанализировать полученную информацию.

• DNS сервер оценивает, в какой подсети находится десктоп, на основе IP адреса и маски подсети, настроенной на нем.
• DNS сервер должен также оценить, на каком сайте Active Directory расположен этот десктоп, если сайты настроены в DNS
• DNS сервер должен оценить порядок контроллеров домена, которые он включит в ответ, основываясь на приоритете контроллеров домена, сайтах и контроллерах домена, настроенных на использование для других сайтов.

Результат, передаваемый DNS сервером десктопу, называется DCLIST, и представляет собой иерархичный список контроллеров домена, основанный на критериях анализа DNS. Вверху списка DCLIST должны быть контроллеры домена для сайта десктопа, а затем остальные контроллеры доменов, не для этого сайта.

DNS сервер также предоставляет и другие записи SRV (записи ресурсов служб - service resource records) десктопу, которые ему требуются. Сюда входит KDC (Key distribution center for Kerberos) и DFS серверы (если они настроены в DNS).

Если десктоп не получает SRV записи, он не сможет воспользоваться никакими ресурсами Active Directory, поскольку единственным способом использования Active Directory является получение TCP, LDAP, DC и KDC SRV записей, предоставляемых DNS. Это не позволит работать Kerberos, групповой политике и другим коммуникациям с контроллерами домена из-за сбоя в Kerberos и LDAP.

Третий шаг рабочей станции

После получения десктопом IP адреса контроллеров домена он подключается напрямую к первому в списке контроллеру домена. Это должно быть быстрое подключение, так как контроллер домена должен быть на сайте десктопа.

Если контроллер домена доступен, он ответит и в результате будет установлена связь между ним и десктопом. Десктоп предоставит информацию контроллеру домена, необходимую для прохождения десктопом проверки подлинности в качестве участника домена.

После прохождения проверки подлинности десктоп получит нужную информацию, такую как сценарии запуска, параметры групповой политики и т.д. Она передается контроллером домена по защищенному каналу, доступ к которому предоставляется с контроллера домена через ресурс NETLOGON.

Высока вероятность того, что десктоп, наконец, пройдет проверку подлинности, но будет использовать NTLMv2 или NTLM. Kerberos используется только в том случае, когда десктоп может получить KDC и другие SRV записи с DNS. И если Kerberos коммуникация с контроллером домена не работает, все функции Active Directory будут недоступны для десктопа.

Заключение

Как вы видите, параметры DNS являются крайне важными для рабочих станций. Если какой-либо параметр на рабочей станции настроен неверно, неважно настроен он вручную или с помощью DHCP сервера, рабочая станция не сможет установить нужную связь с DNS сервером или контроллером домена Active Directory. По этой причине необходимо обеспечить правильность настройки DNS на всех компьютерах Windows, присоединенных к домену Active Directory. Без правильной конфигурации десктоп не будет использовать Kerberos, он не сможет получить параметры групповой политики и не сможет использовать Active Directory должным образом, поскольку он не смог связаться с DNS сервером для получения SRV записей, размещенных Active Directory для поиска AD ресурсов.