ActivDirectory и DNS PFsense

wezen

Добрые люди подскажите с такой проблемой. Есть локальная сеть 10.10.10.x с PFsens, через него раздается по DHCP ip и DNS с настройками (10.10.10.254 сам pfsens, 8.8.8.8) недавно поднял AD в сети с ip 10.10.10.253. При введении ПК в домен с стандартными настройками сети говорит что домен не обнаружен в сети это понятно имени домена Pfsense не знает. если меняем сервер DNS, на ПК который вводим вручную, на 10.10.10.253 в домен ПК вводиться ну это все ясно. Но возник хитрый вопрос как сделать чтобы dns PFsensa 10.10.10.254 увидел сервер AD? Чтобы если AD грохнется интернет у всех был. Пробовал через DNS resolver добавить проброс имя домена xyz.local на ip 10.10.10.253. xyz.local пингуется правильно но компы все ровно не вводятся в домен. В чем косяк кто нибудь настраивал

PbIXTOP

Рекомендую воспользоваться функцие domain overwrite и там указать родной DNS сервер для вашего домена.
Дополнительно можно указать специальные SRV записи для работы домена. Посмотреть что спрашивают клиенты, можно с помошью дампа.

dragoangel

Если ты хочешь что бы у тебя была AD то ты не можешь думать что она "грохнется". Ты или ей пользуешься и все клиенты смотрят DNSсами в нее, или ты ей не пользуешься и в нее никто не смотрит  :P.
Советую поднимать 2 домен контроллера - это best practices. У меня в сети так:
WAN (DNS 8.8.8.8, 8.8.4.4 или любые другие публичные DNS) => pfSense (DNS Resolver from WAN + localhost + pfBlocker DNSBL) => AD-DC01 + AD-DC02 => Client
DHCP клиентам говорит смотреть на AD-DC01 + AD-DC02. Суть домен контролера в том что клиенты не только его голую доменную запись должны видеть, а и всю структуру домена которая в DNS завязана на твоей ad.mydomain.com

Ну а если все таки нужно вывести AD-DC из работы - то просто на время на DHCP меняешь настройку клиенту смотреть не на AD-DC01 + AD-DC02, а на локальный IP pfSense. Можешь конечно погуглить и поизвращатся что бы crontab sh скриптом пинговал IP домен контроллера и если тот не пингуется  то менялись настройки DHCP на DNS pfSensа, а если пинг удается то менялись настройки назад на контроллеры домена, но как по мне - это дичь - домен контроллер должен работать всегда, так же как и твой pfSense - а если ты не можешь обеспечить работу контролера домена 24\7\365 (с погрешностью в 1%) то лучше не вводить его вообще =)

werter

Доброе.
Настройте dhcp на pfsense\DC и в его настройках укажите раздавать клиентам 1 и 2-м DNS - адреса осн. и доп. DC , а 3-м - адрес пф.

P.s. Отличный цикл статей по поднятию AD. Работает и для Win Srv 2016 - проверял лично  ::)
http://sanotes.ru/windows-2012r2-1st-kontroller-domena-v-lesu/
http://sanotes.ru/windows-2012r2-vtoroi-kontroller-domena-nastroika-ad-ds-dns-dhcp/
http://sanotes.ru/windows-2012r2-ustanovka-read-only-domain-dns-dhcp/

pavvap

Верно говорит DRago_Angel

Если задумали домен, то поднимайте минимум на двух серверах! Второй можно и на обычном не сильно мощном компе сделать. Если нет денег на ещё одну винду, то Samba4.
Если оставите один сервер с доменом, то когда он отвалится, то горя хапните с головой.