Domain-Name-System

GPO 工作是否需要將 DNS 指向域控制器?

  • November 6, 2017

讓我先說我絕不是一個訓練有素的系統管理員,而是,容我們說,在旅途中學習。如果我的問題的答案很明顯,但我無法通過 Google/Serverfault 搜尋找到確切答案,我深表歉意。

所以我負責管理我工作的大約 200 台 Windows 電腦,我最近了解到這個東西 Active Directory 可以輕鬆地對所有電腦進行更改,這很棒。所以我設置了域控制器並找到了一個 .vbs 腳本來將電腦加入域。完美的。

除了我設置的 GPO 沒有被推送到電腦上。我嘗試在電腦上執行“gpupdate /force”,它顯示以下錯誤

組策略處理失敗。Windows 嘗試為此使用者或電腦檢索新的組策略設置。在詳細資訊選項卡中查看錯誤程式碼和描述。Windows 將在下一個刷新周期自動重試此操作。加入域的電腦必須具有正確的名稱解析和與域控制器的網路連接,才能發現新的組策略對象和設置。組策略成功時將記錄一個事件。

使用者策略更新已成功完成。

要診斷故障,請查看事件日誌或從命令行執行 GPRESULT /H GPReport.html 以訪問有關組策略結果的資訊。

我環顧四周,似乎當我將客戶端的 DNS 指向域控制器時,更新通過(執行 nsloookup {domain.com} 返回非權威答案)。現在,可能是在 AD 中將 DNS 指向 DC 是強制性的。但是我從來沒有在我發現的任何教程中看到過這個,這真的很奇怪。那麼真的需要嗎?(這是我找到的最接近的答案,似乎暗示是的,但真的沒有其他方法嗎?我不能向 nslookup 返回權威答案嗎?)

如果需要,有什麼方法可以更新域中所有電腦的 DNS,而無需實際訪問每台電腦?

這也引發了另一個問題。如果我出於某種原因必須更改 DC 的目前 IP,該怎麼辦。然後我需要在每台電腦上再次更新 DNS 嗎?

感謝您的寶貴時間並期待您的建議。

我的最愛之一“DNS 就是答案,問題無關緊要”。

組策略儲存在 FQDN\Sysvol\FQDN\Policies 文件夾中 - 如果您無法從 DNS 解決方案解析 FQDN,GPO 處理將失敗。

Active Directory 域需要 DNS,它不必AD 集成 DNS(在域控制器上安裝 DNS 伺服器角色),但它更易於管理。如果這樣做,您可以將所有域電腦指向 DNS 域控制器並完成。

域控制器應該有一個靜態 IP,這被列為最佳實踐,並且通常所有伺服器,由於其線上服務請求的性質,使用靜態 IP。考慮到這一點,IP 不應該改變。如果 IP 確實發生了變化,則有大量腳本可用於以程式方式更改成員電腦 DNS 伺服器 IP,請進行搜尋。

電腦加入vbs腳本是如何工作的?它需要DNS解析域名才能加入。如果腳本有效,那麼電腦已經指向指向域的 DNS 伺服器,並且組策略處理應該沒問題。警告:您可能會在沒有實際加入的情況下獲得“成功”加入,這要歸功於 Microsoft 的天才決定,即合併“離線域加入”以減少錯誤的出現。對此進行測試的最佳方法是使用實際的域帳戶登錄。如果您收到“無法訪問域”的錯誤,那麼您可能仍然有 DNS 問題。

引用自:https://serverfault.com/questions/882028