Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > Rychlý test členství v doméně
duben 19
Rychlý test členství v doméně
by  Ondřej Ševeček  on 19.4.2013 8:31

Běžně byste potřebovali otestovat, jestli váš počítač, který je členem domény, v ní funguje správně. Jak to uděláte? Stačí několik málo příkazů. V dalším textu se budu odkazovat na krátké (NetBIOS) a dlouhé (FQDN) jméno domény. Upozorňuji, že mohou být různá, takže by stálo za to si je zjistit dopředu pomocí PowerShell:

(Get-WmiObject Win32_NTDomain)[1] | Select -Expand DomainName  # NetBIOS jmeno domeny
Get-WmiObject Win32_ComputerSystem | Select -Expand Domain     # FQDN domeny

No a potom už následují ty testy:

nslookup
SET Q=SRV
_ldap._tcp.dc._msdcs.dlouhaDomenaFQDN

nltest /sc_verify:kratkaDomenaNetBIOS
gpupdate
w32tm /resync

Upozorňuji, že obvyklý test, který správci dělají je něco jako "ping gopas.local". To je ale absolutně zbytečné a nemá to žádnou informační hodnotu. Co tím pingnete? V DNS jsou obvykle zaregistrovány všechny řadiče domény jako A (host) záznamy pro doménovou zónu. To tam ale nemusí být. Dá se to vypnout. Ve skutečnosti to je vypnuté docela často, podle mých zkušeností. Ty záznamy jsou tam téměř na nic. Téměř nic je nepoužívá. Rozhodně je nepoužívají počítače k vyhledávání svých DC.

Ty záznamy jsou tam jen kvůli DFS namespaces, jenom kvůli tomu, aby když zadáte do okénka průzkumníka \\gopas.local, tak aby se bez zbytečných LDAP dotazů dal rychle nabídnout seznam share. Jinak je to na nic. Ani DFS namespaces to nepotřebuje ke své skutečné funkci. Je to jen na vylepšení odezvy průzkumníka.

Takže jestli tohle jde pingnout, je nulová informace.

Permanent Link to Post | Email Post Link | Number of Comments 2 Comment(s)

Comments

Co ti ja viem

Len taky dotaz. A ked chce stiahnut klient GPO politiky alebo spustit skript z NETLOGON, tak ide na DFS \\DOMENA\...

Takze uplne vyhodenie A zaznamov z DNSka by som moc nepreferoval :)
Ondrej Zilinec on 19.4.2013 9:38

Re: Rychlý test členství v doméně

nene, to je opravdu jenom pro toho průzkumníka - tedy to GUI okénko. Normální DFS bez toho funguje bez problémů. DFS si čte seznam referalů v AD přes LDAP a používá k tomu normální SRV záznamy, jako je třeba _LDAP apod. A teprve potom se tam připojuje na ten konkrétní referal. Takže skutečná DFS operace je v pořádku i bez těch "kořenových dns záznamů".
To je jen taková rychlá funkce klientského GUI - prostě když začnu psát \\jmeno-serveru, nebo \\jmeno-domeny, tak to GUI ještě vůbec neví, jestli je to DFS, nebo přímo jméno nějakého serveru. Zbytečně to nechce zjišťovat a jít nějakou zbytečně složitou cestou, tak prostě jenom bleskově přeloží IP adresu a rovnou tam udělá normální SMB spojení a výpis seznamu sdílených adresářů.
Takže jediné, co nebude fungovat, jakmile ty záznamy odstraníš, bude to, že když napíšeš v GUI \\jmeno-domeny\ tak ti to nevypíše seznam těch šérů.
ondass on 19.4.2013 11:13

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments