ActivDirectory и DNS PFsense



  • Добрые люди подскажите с такой проблемой. Есть локальная сеть 10.10.10.x с PFsens, через него раздается по DHCP ip и DNS с настройками (10.10.10.254 сам pfsens, 8.8.8.8) недавно поднял AD в сети с ip 10.10.10.253. При введении ПК в домен с стандартными настройками сети говорит что домен не обнаружен в сети это понятно имени домена Pfsense не знает. если меняем сервер DNS, на ПК который вводим вручную, на 10.10.10.253 в домен ПК вводиться ну это все ясно. Но возник хитрый вопрос как сделать чтобы dns PFsensa 10.10.10.254 увидел сервер AD? Чтобы если AD грохнется интернет у всех был. Пробовал через DNS resolver добавить проброс имя домена xyz.local на ip 10.10.10.253. xyz.local пингуется правильно но компы все ровно не вводятся в домен. В чем косяк кто нибудь настраивал



  • Рекомендую воспользоваться функцие domain overwrite и там указать родной DNS сервер для вашего домена.
    Дополнительно можно указать специальные SRV записи для работы домена. Посмотреть что спрашивают клиенты, можно с помошью дампа.



  • Если ты хочешь что бы у тебя была AD то ты не можешь думать что она "грохнется". Ты или ей пользуешься и все клиенты смотрят DNSсами в нее, или ты ей не пользуешься и в нее никто не смотрит  :P.
    Советую поднимать 2 домен контроллера - это best practices. У меня в сети так:
    WAN (DNS 8.8.8.8, 8.8.4.4 или любые другие публичные DNS) => pfSense (DNS Resolver from WAN + localhost + pfBlocker DNSBL) => AD-DC01 + AD-DC02 => Client
    DHCP клиентам говорит смотреть на AD-DC01 + AD-DC02. Суть домен контролера в том что клиенты не только его голую доменную запись должны видеть, а и всю структуру домена которая в DNS завязана на твоей ad.mydomain.com

    Ну а если все таки нужно вывести AD-DC из работы - то просто на время на DHCP меняешь настройку клиенту смотреть не на AD-DC01 + AD-DC02, а на локальный IP pfSense. Можешь конечно погуглить и поизвращатся что бы crontab sh скриптом пинговал IP домен контроллера и если тот не пингуется  то менялись настройки DHCP на DNS pfSensа, а если пинг удается то менялись настройки назад на контроллеры домена, но как по мне - это дичь - домен контроллер должен работать всегда, так же как и твой pfSense - а если ты не можешь обеспечить работу контролера домена 24\7\365 (с погрешностью в 1%) то лучше не вводить его вообще =)



  • Доброе.
    Настройте dhcp на pfsense\DC и в его настройках укажите раздавать клиентам 1 и 2-м DNS - адреса осн. и доп. DC , а 3-м - адрес пф.

    P.s. Отличный цикл статей по поднятию AD. Работает и для Win Srv 2016 - проверял лично  ::)
    http://sanotes.ru/windows-2012r2-1st-kontroller-domena-v-lesu/
    http://sanotes.ru/windows-2012r2-vtoroi-kontroller-domena-nastroika-ad-ds-dns-dhcp/
    http://sanotes.ru/windows-2012r2-ustanovka-read-only-domain-dns-dhcp/



  • Верно говорит DRago_Angel

    Если задумали домен, то поднимайте минимум на двух серверах! Второй можно и на обычном не сильно мощном компе сделать. Если нет денег на ещё одну винду, то Samba4.
    Если оставите один сервер с доменом, то когда он отвалится, то горя хапните с головой.


Log in to reply