在 DHCP 環境中指定 DNS 伺服器的組策略 - 好還是壞?
在我降級 DC/DNS 伺服器後,我剛剛遇到了幾個小時的工作,試圖解決我的域中的 DNS 問題(在此處說明WinXP 使用舊的 DNS 伺服器 IP,即使在 DHCP 和盒子上進行了更改)。
有一個愚蠢的組策略(不知道為什麼,但我會留下它)強制 DNS 伺服器;更改了它但是客戶端無法訪問域(因為主 DNS 已關閉 - 為什麼 Windows 不會嘗試執行正常的輔助 DNS ?!?!?)…那麼我該如何強制組策略覆蓋(以便桌面可以再次找到域)或以某種方式將組策略恢復到他們的電腦上?啊…
我在那裡看到我們有兩個 DNS 伺服器的 IP,然後是我們的兩個 ISP 的 DNS 伺服器。
問題是——在 DHCP 處理分發 DNS 條目的環境中,是否應該使用組策略中的 DNS 覆蓋它?儘管在詳細記錄之後它把我燒到了這裡,但將來應該不會有問題——但我想知道該政策是應該保留還是保留?ISP DNS 伺服器的兩個 IP 是否重要(每個 DC 上的 DNS 伺服器都設置為轉發到這些 IP)?客戶會需要它們嗎?
最佳實踐 = 否,不要通過 GPO 申請。
DHCP 會將請求轉發到您選擇的少數 DNS 伺服器。然後 DNS 會將請求轉發出去。
如果您想將特殊設置應用於特定工作站(基於 GPO 範圍、機器/使用者成員資格),通常使用 GPO 定義 DNS 伺服器。內網測試機。一個更好的例子是將使用者鎖定在網際網路之外。如果使用者是 Deny_Internet 安全組的成員,並且您將其定義為 Set_Bogus_DNS GPO 的範圍,則屬於該組的使用者將無法上網,因為他們將無法解析任何地址.
定義外部 DNS 伺服器的缺點是,在重大病毒/蠕蟲爆發的情況下,您無法鎖定有問題的域。使用 DHCP 將您的電腦指向內部 DNS 伺服器,如果需要,您可以通過在自己的 DNS 框上創建 DNS 主區域來鎖定 www.malware-spreading-site.org,並將 www 指向 127.0.0.1。
總之,將內部機器指向外部 DNS 是不好的。壞壞壞。淘氣。其次,在這種情況下使用 DHCP 優於 GPO。