Dynamisk DNS registrering for Windows 10 Petter Haavin, KIA Med veldig god hjelp fra Gunnar, Kaj, Fredrik og flere
Hvorfor ønsker man dynamisk dns? Andelen bærbare maskiner øker, behovet for å drifte disse maskinene på en effektiv måte som gir en god og sikker brukeropplevelse er viktig
Alternativer til vurdering Ledelsen bestemmer seg for hvilket alternativ som skal brukes; Alternativ 1 – Bruke Windows DNS servere for DNS-sonen uio.no, fase ut Bind Alternativ 2 – Opprette et nytt AD domene med Windows DNS og samme sonenavn som AD, for eksempel ettellerannet.uio.no Alternativ 3 – Opprette en DNS-sone ettellerannet.uio.no og bruke dette sammen med dagens AD domene uio.no - Stikkord: Disjoint Namespace
Ad og dns henger tett sammen Vanlig og anbefalt måte å opprette et AD på, er å lage en AD forest med navn subdomene.bedriftnavn.no. AD domenenavn og DNS domenenavn er da likt og heter subdomene.bedriftnavn.no. Man kan da ha dynamisk DNS for DNS-sonen subdomene.bedriftnavn.no - en maskin vil hete maskinnavn.subdomene.bedriftnavn.no. Så lar man andre DNS-servere håndtere DNS-sonen bedriftnavn.no, typisk for hjemmesider og lignende som skal være tilgjengelig for verden via Internett. Når AD domenenavn og DNS domenenavn er likt, fungerer alt (inkl. oppslag, autentisering og autorisasjon) ut av boksen i Windows-verdenen. Hvis man gjør som oss, vel….
FORDELER OG ULEMPER med alternativ 3 * Raskeste og (i begynnelsen) rimeligste vei til mål for å få dynamisk DNS til klienter Ulemper * Økt kompleksitet, samt bruker ekstra tid på testing og verifisering * Høyere kostnad hvis man ønsker seg ut av løsningen * Vanskeligere å feilsøke * Ikke mye brukt av andre, sannsynligvis lite kompetanse å oppdrive
Dette sier microsoft Planning for disjoint namespace deployments Take the following precautions if you deploy computers in an environment that has a disjoint namespace: Notify all software vendors with whom you do business that they must test and support a disjoint namespace. Ask them to verify that they support their applications in environments that use disjoint namespaces. Test all versions of operating systems and applications in disjoint namespace lab environments. When you do, follow these recommendations: a) Resolve all software issues before you deploy the software into your environment. b) When possible, participate in beta tests of operating systems and applications that you plan to deploy in disjoint namespaces. Ensure that administrators and helpdesk staff are aware of the disjoint namespace and its impact. Create a plan that makes it possible for you to transition from a disjoint namespace to a contiguous namespace, if necessary. Evangelize the importance of disjoint namespace support with operating system and application providers.
PRODUKSJONSKONSEPT (preprod.uio.no) UiO Bind DNS Autorativ for DNS-sonen uio.no Windows 10 Maskinnavn: mindreenn16tegn AD-domene: preprod.uio.no Active Directory preprod.uio.no med DNS rolle DNS-sone: preprod.uio.no (ikke autorativ) clients.preprod.uio.no (autorativ)
Hva er testet så langt Dynamisk DNS-registrering i Windows DNS i DNS subdomenet clients.preprod.uio.no Service Principal Name registreres riktig med clients.preprod.uio.no DNS-adresse på maskinkonto i AD registreres riktig med clients.preprod.uio.no Riktig registrering i AD og DNS av IPv4-adresser, samt delvis IPv6 Direct Access tilgang til UiO testmiljøet via Internett Fjernstyring av Windows 10 maskin med dynamisk DNS via WinRM fra UiO- maskin på UiO-nett mens Windows 10 maskinen er på Internett og er koblet til med Direct Access
forutSetninger #1 (før innmelding i AD) Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name 'NV Domain' -Value clients.preprod.uio.no Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name SyncDomainWithMembership -Value 0
Forutsetninger #2 (etter innmelding i ad hvis forutsetninger #1 ikke utført) 2 ekstra SELF rettigheter på OU-et Windows 10-klienten skal være i