Importanza del record di servizio (SRV) in un ambiente Active Directory

Software Microsoft a Costi Vantaggiosi! Dada Software

applicazioni e client SRV-aware utilizzano record SRV registrato nel server DNS di comunicare tra loro. Ad esempio, un client di dominio aderito sempre inviare una query DNS SRV per individuare un controller di dominio. Allo stesso modo, un client KMS sarà sempre individuare un server KMS con l'invio di una query DNS SRV per il record DNS SRV _VLMCS. Quando si distribuisce un controller di dominio Active Directory, i registri processo di promozione necessarie record SRV nel server DNS. Il processo di promozione controller di dominio registra diversi tipi di record SRV nel server DNS come di seguito elencati:
• SRV record per servizio LDAP. Dal momento che un controller di dominio fornisce servizio LDAP, si deve registrare il suo record LDAP SRV nel server DNS.

• record SRV per Catalog Global Service. Se un controller di dominio è stato configurato come server di catalogo globale, si deve registrare i suoi record globali Catalogo SRV così i clienti che richiedono servizi di catalogo globale possono trovare un controller di dominio.
• Site Specific record SRV per LDAP, KDC e catalogo Global Services. record SRV specifici del sito sono registrati per garantire i clienti di Active Directory possono trovare i controller di dominio nel proprio sito.
• KDC record SRV. KDC record SRV consentire ai client di Active Directory per individuare un controller di dominio per l'autenticazione.
Si potrebbe desiderare di leggere qui di seguito l'articolo scritto da un dipendente Microsoft per sapere il motivo per cui è importante avere i record SRV appropriati sul posto per i controller di dominio Active Directory.
https://blogs.msdn.microsoft.com/servergeeks/2014/07/12/dns-records-that-are-required-for-proper-functionality-of-active-directory/

Impatto se SRV record non sono presenti

Vale la pena ricordare l'impatto si vedrà in un ambiente Active Directory se i record SRV non sono registrati correttamente per i controller di dominio. Per quanto ne so e le questioni che ho visto quando si lavora con i clienti, di seguito l'elenco dei problemi che si vedrà se i record SRV sono assenti per il controller di dominio:
• controller di dominio non riuscirà a replicare le modifiche di Active Directory. E 'importante notare che un controller di dominio comunica con partner di replica per replicare le modifiche con l'invio di una query DNS al server DNS locale per i record SRV LDAP. Se i record LDAP SRV sono mancanti, il controller di dominio non riuscirà a comunicare. Di conseguenza, tutte le modifiche che si prevede di replicare attraverso Active Directory avrà esito negativo.
• Non solo i controller di dominio utilizzano i record SRV di comunicare con l'altro, sono utilizzati anche dalle applicazioni record SRV. Le applicazioni che utilizzano i record SRV per trovare un controller di dominio non funziona. Ad esempio, se avete progettato un'applicazione in-house che individua un server LDAP richiedendo al record SRV DNS non riuscirà a lavorare.
• client KMS non riuscirà ad attivare se il record SRV _VLMCS manca per il server KMS. Si noti che un client KMS invia una query DNS per trovare un server KMS locale.
• Impostazioni Criteri di gruppo che ci si aspetta da applicare ai client di dominio non riuscirà.
• i clienti di Active Directory avrà molto tempo per accedere al computer di dominio uniti.
• KCC, che passa ogni 15 minuti, sarà in grado di rivalutare topologia di replica con conseguente errori e messaggi di avviso nel registro eventi dei controller di dominio.
• Infine, nessun altro computer, l'utente e le applicazioni saranno in grado di individuare un controller di dominio.

Sono registrati tutti i record SRV?

Di recente, ho visto gli amministratori di Active Directory a trovare un modo per segnalare tutti i record SRV registrato nel server DNS per tutti i controller di dominio Active Directory. Abbiamo progettato uno script PowerShell che può aiutare a ottenere record SRV registrati per tutti i controller di dominio e segnalare il record SRV mancanti in un file CSV. Tutto quello che dovete fare è eseguire lo script di PowerShell, ha spiegato in questo articolo, da un computer che ha cmdlet server DNS installati. Lo script è parte di pacchetti dinamici per l'utilizzo con Active Directory Active Directory Salute Profiler . AD navi Salute Profiler con 97 Active Directory pacchetti dinamici. Active Directory pacchetti dinamici possono essere utilizzati per eseguire un controllo completo di salute di una foresta di Active Directory e aiutare a generare un report con problema di gravità.

Requisiti

Prima di eseguire lo script, assicurarsi di soddisfare i requisiti indicati di seguito:
• È necessario eseguire questo script da un computer che esegue Windows Server 2012 o sistemi operativi successivi.
• sistema operativo deve avere i moduli del DNS Server PowerShell installati.
• emulatore PDC per ogni dominio deve essere disponibile al fine di raccogliere l'elenco dei record SRV.
Suggerimento : script utilizza Get-DNSServerZoneResourceRecord PowerShell cmdlet per raccogliere record SRV da ogni zona del dominio.

Cosa fa lo script fare?

Lo script esegue le seguenti funzioni:
• Ottiene tutti i domini dagli attuali strutture di Active Directory.
• Ottiene i controller di dominio per ciascun dominio.
• Si collega a emulatore PDC di ogni dominio.
• Esegue Get-DNSServerZoneResourceRecord PowerShell cmdlet per raccogliere i record SRV registrati nel dominio zona DNS.
• Controlli record SRV per ogni controller di dominio del dominio e quindi creare un file CSV.

contenuto dello script

### Avviare Script ###

$ TestCSVFile = "C: \ Temp \ SRVRecordsStatus.CSV"

Remove-Item $ TestCSVFile -ErrorAction SilentlyContinue

$ ThisString = "Nome dominio, controller di dominio, sito DC, DC SRV LDAP, Kerberos DC SRV, DC SRV Site-LDAP, DC-Site Kerberos SRV, DC GC SRV, DC GC Sito SRV, stato finale"

Add-Content "$ TestCSVFile" $ ThisString

$GDomList = "C:\Temp\DomList.TXT"

Remove-Item $ GDomList -ErrorAction SilentlyContinue

$ RInstNow = Get-ADForest

$ AllDomains = $ RInstNow.Domains

Foreach ($ AllItems a $ allDomains)

{

       Add-Content $ GDomList $ AllItems

}

$ TestStatus = "Passed"

$TestText = ""

$ SumVal = 0

$ ReachOrNot = "Sì"

$ AnyGap = "No"

$ TotNo = 0

$ AnyOneOk = "No"

Foreach ($ ThisDomain in Get-Content "$ GDomList")

{

$ SRVFile = "C: \ Temp \ SRVTemp.DPC"

Remove-Item $ SRVFile -ErrorAction SilentlyContinue

$ RDC = Get-ADDomain -Identity $ ThisDomain

$ = $ PDCDomain RDC.PDCEmulator

$ ThisZoneNow = "_msdcs." + $ ThisDomain

$ Error.Clear ()

Get-DnsServerResourceRecord -ComputerName $ PDCDomain -ZoneName $ ThisZoneNow | ? {(. $ _ RecordType eq 'SRV')} | Selezionare -Property hostname, RecordType -ExpandProperty RecordData | Export-CSV $ SRVFile -NoTypeInformation

If ($ Error.Count -eq 0)

{

$ AnyOneOk = "Sì"

$ AllRecordsCSV = Import-CSV $ SRVFile

$ AllDCInDomain = Get-ADDomainController -filter * -Server $ ThisDomain

Foreach ($ DCName a $ AllDCInDomain)

{

$ ThisDCNameNow = $ DCName.HostName

$ ThisDCSiteNow = $ DCName.Site

$ DCLDAPSRV = "_ldap._tcp.dc." + $ ThisDCNameNow + "."

$ DCKerberosSRV = "_kerberos._tcp.dc." + $ ThisDCNameNow + "."           

$ DCSiteLDAPSRV = "_ldap._tcp." + $ ThisDCSiteNow + "._ sites.dc." + $ ThisDCNameNow + "."

$ DCSiteKerberosSRV = "_kerberos._tcp." + $ ThisDCSiteNow + "._ sites.dc." + $ ThisDCNameNow + "."

$ DCGCSRV = "_ldap._tcp.gc." + $ ThisDCNameNow + "."

$ DCGCSiteSRV = "_ldap._tcp." + $ ThisDCSiteNow + "._ sites.gc." + $ ThisDCNameNow + "."

$ IsDCLDAPSRVPresent = "Missing"

$ IsDCKerberosSRVPresent = "Missing"

$ IsDCSiteLDAPSRVPresent = "Missing"

$ IsDCSiteKerberosSRVPresent = "Missing"

$ IsDCGCSRVPresent = "Missing"

$ IsDCGCSiteSRVPresent = "Missing"

$ FinStatus = ""

Foreach ($ SRVInFile a $ AllRecordsCSV)

{

$ ThisDCInFile = $ SRVInFile.DomainName

$ ThisDCSRV = $ SRVInFile.Hostname

$SRVToCheckNow = $ThisDCSRV+"."+$ThisDCInFile

If ($ SRVToCheckNow.ToLower () eq $ DCLDAPSRV.ToLower ())

{

$ IsDCLDAPSRVPresent = "Present:" + $ SRVToCheckNow                   

}

If ($ SRVToCheckNow.ToLower () eq $ DCKerberosSRV.ToLower ())

{

$ IsDCKerberosSRVPresent = "Present:" + $ SRVToCheckNow                   

}

If ($ SRVToCheckNow.ToLower () eq $ DCSiteLDAPSRV.ToLower ())

{

$ IsDCSiteLDAPSRVPresent = "Present:" + $ SRVToCheckNow

}

If ($ SRVToCheckNow.ToLower () eq $ DCSiteKerberosSRV.ToLower ())

{

$ IsDCSiteKerberosSRVPresent = "Present:" + $ SRVToCheckNow

}

If ($ SRVToCheckNow.ToLower () eq $ DCGCSRV.ToLower ())

{

$ IsDCGCSRVPresent = "Present:" + $ SRVToCheckNow

}

If ($ SRVToCheckNow.ToLower () eq $ DCGCSiteSRV.ToLower ())

{

$ IsDCGCSiteSRVPresent = "Present:" + $ SRVToCheckNow

}

}

If ($ IsDCLDAPSRVPresent eq "Missing" -o $ IsDCKerberosSRVPresent eq "Missing" -o $ IsDCSiteLDAPSRVPresent eq "Missing" -o $ IsDCSiteKerberosSRVPresent eq "Missing" -o $ IsDCGCSRVPresent eq "Missing" -o $ IsDCGCSiteSRVPresent - eq "Missing")

{

$ AnyGap = "Sì"

$ FinStatus = "Attenzione: Richiesto SRVs mancano per questo DC."

$ TotNo ++

}

$ FinalSTR = $ ThisDomain + "," + $ ThisDCNameNow + "," + $ ThisDCSiteNow + "," + $ IsDCLDAPSRVPresent + "," + $ IsDCKerberosSRVPresent + "," + $ IsDCSiteLDAPSRVPresent + "," + $ IsDCSiteKerberosSRVPresent + "," + $ IsDCGCSRVPresent + "," + $ IsDCGCSiteSRVPresent + "," + $ FinStatus

Add-Content "$ TestCSVFile" $ FinalSTR

}

}

altro

{

$ ThisSTR = $ ThisDomain + ", Errore di connessione a PDC in questo settore."

$ ErrorOrNot = "Sì"

Add-Content "$ TestCSVFile" $ ThisStr  

}

}

If ($ AnyGap eq "Sì")

{

$ TestStatus = "Critical"

$ TestText = "Ci sono alcuni record SRV mancanti per i controller di dominio."

$ SumVal = $ TotNo

}

If ($ AnyGap eq "No")

{

$ TestStatus = "Passed"

$ testText = "Tutti i record SRV sono presenti per i controller di dominio."

$SumVal = ""

}

$ STR = $ ADTestName + "," + $ TestStartTime + "," + $ TestStatus + "," + $ SumVal + "," + $ testText

$ STR

### End Script ###

Una volta che lo script è terminato esecuzione per tutti i domini, un file di report verrà generato in un file CSV come mostrato nella figura 1 qui sotto. Il nome del file di report è RVRecordsStatus.CSV e si trova in C: \ Temp.

Figura 1 - Visualizzazione CSV Relazione generato dallo script PowerShell

Come si può vedere nel report generato dallo script, lo script ha riferito " ATTENZIONE " in " stato finale colonna" per i controller di dominio che hanno i record SRV mancanti. Come indicato nella relazione di cui sopra, controller di dominio DC3.ITDynamicPacks.Net, DC4.ITDynamicPacks.Net e DC7.ITDynamicPacks.Net hanno LDAP record SRV mancanti nella zona di dominio DNS. Una volta che avete il rapporto SRV, è possibile registrare i record SRV nel server DNS per garantire Active Directory buon funzionamento.
Se si utilizza Active Directory Salute Profiler, è possibile eseguire il controller di dominio singoli record SRV prova dinamica pacchetto contro una foresta di Active Directory o un dominio visualizzare lo stato dei record SRV in console di Active Directory Salute Profiler, come mostrato nella figura 2 qui sotto .