在單個 Active Directory 的情況下輔助 DNS 的最佳實踐
我的設置只有一個 Active Directory(不是多餘的)。應該在客戶端 PC 上配置什麼以確保最佳 DNS 解析?目前有人將 AD 的 IP 地址配置為主 DNS,將公共 DNS 配置為輔助 DNS(不是Google的,而是提供商的 DNS)。
儘管在大多數案例中似乎執行良好,但我認為這不是一個好習慣,而且我已經看到了 2 個問題:
有一次 GPO 未在 PC 上應用。可能電腦試圖解析 SRV 記錄,無論出於何種原因,DNS 請求可能已發送到輔助 DNS 伺服器。輔助 DNS 伺服器當然無法回答。我沒有證據證明這是問題,但我懷疑它。客戶端是 Windows 7,伺服器是 Windows Server 2012。
還有一次,使用者創建票證是因為他無法登錄 LAN 應用程序(終端伺服器)。該錯誤消息與 DNS 解析錯誤有關。nslookup 或 ping 很好地提供了 DNS 解析。在 ipconfig/flushdns 之後,使用者能夠連接到終端伺服器。結論:問題的原因可能是一個否定的 DNS 答案,它已記憶體在 pc 上。
只填寫一個主 DNS 有一個很大的缺點,如果 AD 出現問題,使用者將被完全屏蔽,無法上網,訪問電子郵件,..
已針對另一組使用者實施的解決方案是部署一個小型 DNS 伺服器 (dnsmasq),其中包含一些規則,將所有 AD 域僅轉發到 AD 伺服器,其餘(公共 DNS)作為輔助轉發到 AD + 其他。通過該設置,使用者可以在 AD 出現問題的情況下繼續上網,並且所有 AD(本地查詢)僅發送到 AD DNS 伺服器。
在 AD 伺服器本身上,最佳做法是什麼?預設情況下,Windows Server 將其主 DNS 配置為 127.0.0.1。我們可以設置輔助(公共/ISP DNS)嗎?
所以我正在尋找最佳實踐,我希望能閱讀您的回饋,因為在這種情況下,我可能不是唯一一個。複製廣告當然會更好,但它的成本並非每個客戶都願意支付。
這裡只有一個最佳實踐解決方案:您需要一個安裝了 Active Directory DNS 服務的附加域控制器。然後,您應該在 DNS 中配置一個轉發器,以使用您首選的提供商。
然後,您將擁有 Active Directory 和 DNS 的完全冗餘。
然後,您應該配置您的客戶端(理想情況下通過 DHCP)使用一個作為主要和一個作為輔助。
對。
在我看來,你有幾個選擇
- 將所有具有 DC 的客戶端電腦保留在主 DNS 上,將輔助電腦留空,但在 DNS 伺服器中設置 DNS 轉發以使用您的公共 DNS 伺服器(ISP/Google/等)。這將為您提供本地解析和網際網路解析,您必須記住,如果 DNS 伺服器在大約 2 秒內沒有響應,它將嘗試另一個源,您已將其設置為輔助源,這反過來會影響本地解析。如果你的 DC 不符合工作地址,除非你準備好解決問題,否則不要粘貼這種情況。
- 我不喜歡這個,但它是一個選項,您可以編輯網路上所有機器的本地主機文件,為它們提供所有本地設備的條目。然後,您可以將主要作為 DC,然後將次要作為外部源。您必須記住在主機文件中的任何 IP 地址更改時更新它們。這將始終為您提供本地解決方案,但管理時間成本很高。
- 獲取另一個 DC 或 Hyper visor 以執行多個 DC。如果您的本地 DNS 無法響應,那麼您有一個更大的問題,您必須在那裡解決。ADDS 依賴於 DNS,沒有本地 DNS = 問題。只需調查 DNS 解析失敗的原因並從那裡開始。