Каким должен быть порядок DNS-серверов для контроллера домена AD и почему?

40

Это канонический вопрос о настройках DNS Active Directory.

Связанный:

Предполагая среду с несколькими контроллерами домена (предположим, что все они также работают с DNS):

  • в каком порядке DNS-серверы должны быть указаны в сетевых адаптерах для каждого контроллера домена?
  • Следует ли использовать 127.0.0.1 в качестве основного DNS-сервера для каждого контроллера домена?
  • Имеет ли это какое-то значение, если да, то на какие версии влияют и как?
windows domain-name-system active-directory domain-controller MDMarra
источник

Ответы:

35

Согласно этой ссылке и анализатору соответствия рекомендациям для Windows Server 2008 R2, адрес обратной связи должен быть в списке, но не в качестве основного DNS-сервера. В определенных ситуациях, таких как изменение топологии, это может нарушить репликацию и привести к тому, что сервер будет «на острове» в отношении репликации.

Предположим, у вас есть два сервера: DC01 (10.1.1.1) и DC02 (10.1.1.2), которые оба являются контроллерами домена в одном домене и оба содержат копии зон ADI для этого домена. Они должны быть настроены следующим образом:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
источник
Как насчет среды с DC и DNS-сервером с зоной ADI? Должен ли DC все еще быть сконфигурирован как первичный для вторичного?
Джордж
@ Джордж Я не понимаю, что вы просите. Вы спрашиваете о среде только с одним контроллером домена?
MDMarra
Да, это правильно. Извините, я подумал о добавлении этого, но подумал, что это может обойти вопрос (Также - для протокола, я знаю, что среда с одним DC не является «идеальной конфигурацией»)
Джордж
2
В среде с одним DC вы должны просто использовать DC самостоятельно, в качестве вторичного устройства. Это должно уменьшить проблемы с репликацией, но если у вас есть только один DC, репликации не будет. Но да ... не делай этого. Есть два DC.
MDMarra
Да. Не получил "отличную" обстановку на данный момент, как бы. Но, как вы могли видеть из моего другого вопроса, на который вы ответили, расширение идет полным ходом, поэтому новые домены AD и время, чтобы делать все правильно, злой смех . Спасибо.
Джордж
16

С http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Если петлевой IP-адрес является первой записью в списке DNS-серверов, Active Directory может быть не в состоянии найти своих партнеров по репликации.

Включение собственного IP-адреса в список DNS-серверов повышает производительность и повышает доступность DNS-серверов. Однако, если DNS-сервер также является контроллером домена и указывает только на себя или указывает на себя в первую очередь для разрешения имен, это может вызвать задержку во время запуска. По этой причине соблюдайте осторожность при настройке адреса обратной связи на адаптере, если сервер также является контроллером домена. Адрес обратной связи должен быть настроен только как вторичный или третичный DNS-сервер на контроллере домена.

Я также хочу поделиться этим фрагментом из книги Windows Server 2008 R2 Unleashed :

введите описание изображения здесь

Тем не менее, даже если проблема «острова» вас никогда не затронет, ваш DC все равно будет перезагружаться гораздо быстрее и с меньшим количеством ошибок, если он использует другой уже запущенный и работающий DC в качестве основного преобразователя DNS.

Райан Райс
источник
Вау, проблема на острове исправлена? Документация MS для 2008 R2 использовалась для ссылки на нее, и теперь она волшебным образом исчезла (у меня был блок цитировал это в документе для клиента, так что я знаю, что я не сумасшедший!)
MDMarra
3
Ну, я бы сказал, что они в основном это смягчали, но, как показывает эта статья, все еще кажется возможным попасть в плохое положение, если у вас есть какие-то особые обстоятельства: support.microsoft.com/kb/2001093 Итак, в конце В этот день вы, вероятно, будете в порядке с 127.0.0.1 в качестве основного DNS на ваших современных DC в домене с несколькими DC. Я лично видел очень большие домены, которые работали чисто, хотя у них все DC были настроены с 127.0.0.1 в качестве основного DNS. Но это все еще не лучшая практика. Просто делайте то, что говорит ваш BPA, ребята. ;)
Райан Райс
5

Никогда, когда-либо DC не использовал себя как Основной DNS.

Все виды хаоса могут (и Мерфи диктует: произойдет), если службы AD перейдут в оперативный режим до того, как служба DNS начнет работать после перезагрузки. (Или DNS падает, получает DOSsed, что угодно.)
Существует также взаимодействие между DHCP (с динамическими обновлениями DNS) и DNS, которое сильно зависит от правильной работы DNS.

Всегда ставьте 127.0.0.1 последним. Также: не поддавайтесь искушению использовать реальный IP-адрес локальной сети сервера.
Динамические обновления DNS от DHCP очень чувствительны к этому.
(127.0.0.1 всегда существуют и могут быть доступны быстрее. Реальный IP-адрес не всегда может быть доступен / занят. В некоторых сценариях динамические обновления DNS могут фактически DOS адаптера ЛВС, если объединено большое количество одновременных запросов DHCP с подпаритетом NIC / драйверов.)

Tonny
источник
Хотя вы правы почти во всем и есть миллион причин иметь более одного DC, но это не одна из них. Эта конфигурация предотвращает проблемы репликации. Если у вас нет необходимости реплицировать, вам не нужно беспокоиться о предотвращении проблем с репликацией.
MDMarra
@MDMarra: Вы правы насчет взаимодействия репликации / DNS ... Но исходный вопрос был общим, а не специфическим для репликации. Я больше думал о проблемах DHCP-DNS. Обычно, по крайней мере, один из DC также предоставляет DHCP динамические обновления DNS. Все виды странностей могут возникнуть, если DNS не настроен должным образом. Я уточню свой ответ, чтобы уточнить это.
Тонни
1
На самом деле это проблема безопасности, если DHCP развернут на контроллере домена. если это вообще возможно, это не должно быть.
MDMarra
«Всегда ставьте 127.0.0.1 последним» Можете ли вы подробнее рассказать о причинах этого?
Bigbio2002