Помощь с DNS. Настройка контроллера домена.

Помощь с DNS. Настройка контроллера домена., UniFi Network

Jbowen74

Guest

19.05.2025 14:15:00

Привет! Совсем новенький в мире Ubiquiti. Купил Dream Machine SE, создал все свои сети и подключил все устройства. Всё вроде работает, или, по крайней мере, так я думал. У меня настроен Domain Controller 2022 на моём Server Vlan, но когда я пытаюсь подключить какие-нибудь устройства к домену, у меня проблема с DNS. Я пробовал дать клиенту статический IP и статический DNS, но он всё равно не видит DC. Возможно ли, чтобы UDM раздавал DHCP-лизы, но чтобы DC контролировал DNS для этой сети? DNS на моём DC тоже настроен, но я не уверен, какую настройку нужно изменить на UDM, чтобы он смог видеть DC. Пингуется DC клиентом и наоборот без проблем. Буду очень благодарен за любую помощь...

Rmilchman Guest	#2 19.05.2025 18:00:00 Разница есть между фразами "всё в порядке" и "лучшая практика". "Всё в порядке" может быть достаточно хорошо для тех, кто готов рискнуть, а для других – нет.

FrankNicklin Guest	#3 19.05.2025 17:59:00 Где тут сложность в Microsoft DHCP? Это же элементарно. За 30 лет управления DHCP на домене ни разу не возникало проблем.

Weatherlights

Guest

19.05.2025 17:38:00

Тогда используйте UDM для DHCP. По возможности избегайте сложности Microsoft DHCP. Это увеличивает поверхность атаки на ценный ресурс в вашей инфраструктуре и усложняет администрирование сервера. UDM прекрасно справляется с DHCP, и большинство моих клиентов используют свои Security Gateways для этой задачи.

FrankNicklin Guest	#5 19.05.2025 17:17:00 Да, конечно, если у вас есть такая роскошь. У многих малых и средних предприятий (SMB) её нет, поэтому запуск DHCP и DNS на контроллере домена (DC) вполне нормальная практика.

Rmilchman

Guest

19.05.2025 16:06:00

Лучше всего настроить отдельный DHCP-сервер и не запускать DHCP на контроллере домена. Если хочешь использовать Microsoft DHCP, запускай его на сервере, подключенном к домену. Если предпочитаешь DHCP-сервер другого производителя – не проблема. Самый простой способ настроить DNS в среде Active Directory – Microsoft DNS, хотя и DNS других производителей можно сконфигурировать для работы.

RobbieH Guest	#7 19.05.2025 15:25:00 Что он сказал.

FrankNicklin

Guest

19.05.2025 15:07:00

Нет, это не лучшая практика в среде домена. Почему бы не дать контроллеру домена (DC) заниматься вашим основным DHCP и DNS? Это его задача, особенно для общих ресурсов, GPO и т.д. Как я уже упоминал, SE (Switching Element) может обрабатывать все остальные конфигурации VLAN и быть DHCP/DNS сервером для них. Клиенты не видят DC, потому что DNS на SE не разрешает имя DC или его FQDN. Дайте DC делать то, для чего он предназначен. SE – это ваш шлюз, поэтому DNS DC указывает на SE для DNS интернета, а не для сетевого DNS.

Jbowen74

Guest

19.05.2025 15:04:00

Прошу прощения, я все еще немного запутался, как обычно. Получается, что нет способа, чтобы UDM раздавал DHCP и использовал DNS на DC? Разве форвардеры не должны обрабатывать DNS-запросы, которые DC не может разрешить? У меня проблема в том, что когда я пытаюсь подключить клиент к домену, он выдает ошибку, говорящую о том, что он не видит DC, что я не понимаю, учитывая, что я могу пинговать его без проблем.

FrankNicklin Guest	#10 19.05.2025 14:49:00 Вот мой маршрутизатор DC на UDMPro.

RobbieH Guest	#11 19.05.2025 14:36:00 Вот как выглядит форвардер

FrankNicklin

Guest

#12

19.05.2025 14:22:00

DC должен быть основным DHCP и DNS-сервером для сети по умолчанию. Отключите DHCP на SE для сети по умолчанию и дайте DC делать своё дело. Все остальные VLAN могут быть настроены на SE. Установите IP-адрес SE на статический IP или резервирование на DHCP-сервере DC для сети по умолчанию — это будет ваш шлюз по умолчанию. Все мои клиенты используют DC, и именно так они настроены. DC должен быть основным DHCP и DNS для управления доменом и аутентификации пользователей. SE — просто брандмауэр и шлюз в сети по умолчанию. В настройках DNS на DC можно настроить пересылку на SE, если требуется, чтобы можно было включить такие функции, как блокировка рекламы или фильтрация контента (не обе сразу).

Weatherlights

Guest

#13

20.05.2025 21:50:00

Это лучшая практика. Это простая политика одного сервера, одной роли, чтобы уменьшить поверхность атаки, обеспечить чёткое разделение ролей и упростить сценарии миграции. Также стоит избегать создания DHCP-перенаправителей для других сетей, если просто использовать DHCP на вашем шлюзе. Просто настройте DNS-серверы DHCP на UDM на контроллеры домена или создайте политику перенаправления DNS на UDM. Оба варианта отлично работают в DC-окружении. Просто нет необходимости и нет аргументов в пользу DHCP на контроллере домена.

FrankNicklin

Guest

#14

19.05.2025 18:18:00

Да ладно, ты серьезно меня за это придираешься? Я не вписываю сроки для отдельных функций, я в девяностые лучшие годы проработал над Sun Solaris. DHCP и DNS на DC вполне норм для SMB, работает, просто настраивается. Если OP хочет выбрать другой путь - это его дело. Он явно испытывает проблемы с DNS, так что, пожалуйста, дайте ему совет по настройке на UDM, вместо того, чтобы придираться ко мне из-за моих сроков.

ejones

Guest

#15

19.05.2025 18:13:00

Вот что я делаю с моими рабочими сайтами (10) и несколькими удаленными офисами. В каждом есть локальный сервер и Dream Machine с подключением к основному офису. 1 Dream Machine занимается DHCP. DHCP-сервер на Dream Machine выдает локальное доменное имя и IP-адрес DC для DNS. 2 DNS-серверами серверов перенаправляют на Dream Machine. IP-адрес сервера задан через DHCP на Dream Machine, а DNS указывает на себя. 3 Dream Machine настроена на Secure DNS и указывает на Cloud Flair. С точки зрения рабочих станций, они "видят" сервер, и если сервер не имеет нужной записи, она пойдет на Dream Machine, которая извлекает DNS-запись с безопасным подключением к провайдеру. Теперь можно создавать 2 VPN: для рабочих станций и серверов. DNS-трафик выходит только к локальному серверу, а весь трафик извне может идти на Dream Machine от сервера. Затем, если перейти на Cloud Flair, это заблокирует плохие сайты, и никто (хакер, конечный пользователь) не сможет обойти ваш DNS.

RobbieH Guest	#16 19.05.2025 18:12:00 У тебя были отключения в старых версиях до 2000-го, но не AD. Я пережил кучу преобразований в AD, чтобы поддерживать обновления Exchange.

Rmilchman Guest	#17 19.05.2025 18:05:00 Пожалуйста, не указывайте временные рамки, если они не точны. Active Directory (DC's) появились вместе с Windows 2000, бета-версия стала доступна для некоторых клиентов примерно в 1998/99 годах (я был одним из них). Это не 30+ лет.

Читают тему (гостей: 1)