Спрятать DNS запись сервера AD от нескольких сегментов сети.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)

Спрятать DNS запись сервера AD от нескольких сегментов сети.

Есть сеть поделенная на 8 битные сегменты:

10.x.x.x (10.13.1.0/24, 10.56.1.0/24 и т.д) - клиенты и RODC.

172.20.0.0/16 - файл серверы, почтовый сервер и мастер FSMO.

В сети 10.12.1.0/24 из-за большого расстояния поднят отдельный ведомый FSMO сервер и естественно остальные 10.x.x.x его не видят.

Из сетей 10.x.x.x nslookup lan.ru показывает список

172.20.0.111
172.20.0.222
10.12.1.111

И из-за этого контроллеры и клиенты временами не могут синхронизироваться.

Как сделать DNS запись 10.12.1.111 приоритетной для подсети 10.12.1.0/24, видимой для 172.20.0.111 и 172.20.0.222 и невидимой для остальных сетей?

Цитата:

Цитата dasgespenst

В сети 10.12.1.0/24 из-за большого удаления поднят отдельный ведомый FSMO сервер и естественно остальные 10.x.x.x его не видят. »

это что-то новое, расскажите.

Цитата:

Цитата dasgespenst

Из сетей 10.x.x.x nslookup lan.ru показывает список
172.20.0.111
172.20.0.222
10.12.1.111 »

если речь идёт о DHCP, то какие DNS он клиентам выдаёт, через такие они и опрашивают всё, а не лукапят доменное имя, которое, в общем-то не показательно в данном случае.
при правильной привязке сабнетов и сайтов в AD:SS вам должен выдаваться первыми КД обслуживающие сайт/сабнет.
http://support.microsoft.com/kb/247811/ru

Цитата:

Цитата dasgespenst

И из-за этого контроллеры и клиенты временами не могут синхронизироваться. »

о чём именно вы говорите?

Цитата:

Цитата dasgespenst

Как сделать DNS запись 10.12.1.111 приоритетной для подсети 10.12.1.0/24, »

выключить в DNS сервере Round Robin, включить Netmaskordering.
но, по-моему, вы что-то не то делаете, потому что в описании у вас какая-то каша.

Цитата:

это что-то новое, расскажите.

Везде в клиентских подсетях RODC, а в этой подсети ведомый DC.

Цитата:

если речь идёт о DHCP, то какие D...

Нет, речь идёт о трех DNS записях lan.ru

Цитата:

о чём именно вы говорите?

Например вот об этом:

Цитата:

Ошибка при обработке групповой политики. Попытка чтения файла "\\lan.ru\SysVol\lan.ru\Policies\{75438957309-45346-4343-374824594795}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).

С repadmin такая же проблема.

Цитата:

выключить в DNS сервере Round Robin, включить Netmaskordering.

Спасибо, попробуем.

Цитата:

Цитата dasgespenst

Везде в клиентских подсетях RODC, а в этой подсети ведомый DC. »

1. к FSMO это не имеет никакого отношения.
2. "ведомых" DC нет уже лет 15....

Цитата:

Цитата dasgespenst

Нет, речь идёт о трех DNS записях lan.ru »

вы меня не поняли. какие настройки получает клиент?

Цитата:

Цитата dasgespenst

Например вот об этом: »

Цитата:

Цитата dasgespenst

не вижу ничего связанного с "синхронизацией"

Цитата:

Цитата dasgespenst

С repadmin такая же проблема. »

вот прямо слово в слово? :)

Цитата:

Цитата dasgespenst

Спасибо, попробуем. »

не стоит.
стоит почитать AD:DNS и AD:SS, прежде чем что-то менять.