| Er is geen enkel opdrachtregelprogramma dat direct en definitief antwoordt of een domeincontroller *volledig* is geregistreerd in DNS. Bij de registratie zijn meerdere DNS-records betrokken (SRV, A, CNAME, mogelijk andere, afhankelijk van de configuratie). U moet afzonderlijk controleren op de aanwezigheid van deze records.
U kunt echter tools als `nslookup` of `dig` gebruiken om te controleren op de aanwezigheid van cruciale records. Concreet zou je willen zoeken naar:
* SRV-records: Deze zijn essentieel. Ze verwijzen clients naar de domeincontrollers voor verschillende services (LDAP, Kerberos, enz.). De query zou er ongeveer zo uit kunnen zien (waarbij `_ldap._tcp.example.com` wordt vervangen door de juiste service en domein):
``` bash
nslookup -type=srv _ldap._tcp.example.com
graaf _ldap._tcp.example.com srv
```
Als de domeincontroller correct is geregistreerd, ziet u records met de IP-adressen en poorten van de domeincontroller.
* A registreert: Deze wijzen de NetBIOS-naam van de domeincontroller (bijvoorbeeld `DC1`) en mogelijk de volledig gekwalificeerde domeinnaam (FQDN, bijvoorbeeld `dc1.example.com`) toe aan het IP-adres ervan.
``` bash
nslookup dc1.voorbeeld.com
graaf dc1.example.com A
```
Als het A-record bestaat, ziet u het IP-adres.
* CNAME-records: Deze kunnen worden gebruikt voor aliasnamen.
Belangrijke overwegingen:
* Zoneoverdracht: Voor een uitgebreide controle (hoewel dit om veiligheidsredenen doorgaans niet wordt aanbevolen, tenzij u daartoe bevoegd bent), kunt u proberen een zoneoverdracht vanaf de DNS-server uit te voeren. Hiermee wordt het volledige zonebestand gedownload, zodat u alle records kunt inspecteren. Dit is echter meestal beperkt vanwege de veiligheid.
* Replicatie: DNS wordt gerepliceerd. Het controleren van één DNS-server garandeert niet dat de registratie op alle servers in de DNS-infrastructuur voltooid is.
* Dynamische updates: Domeincontrollers registreren zichzelf doorgaans dynamisch. Een tijdelijke netwerkstoring of configuratieprobleem kan de registratie op het moment van uw controle verhinderen.
Daarom is de meest nauwkeurige benadering het gebruik van `nslookup` of `dig` om te controleren op de aanwezigheid van de kritische SRV- en A-records. Een ontbrekend record duidt op een probleem met de DNS-registratie van de domeincontroller. Het ontbreken van meerdere gegevens wijst op een ernstiger probleem. U zou dit verder moeten onderzoeken met tools als `dcdiag` (een Windows-opdrachtregelprogramma dat een uitgebreidere statuscontrole van de domeincontroller biedt). |
