Являются ли эти настройки DNS хорошей идеей или нет?

У нас очень маленькая (5 рабочих станций) сеть с одним Windows Server, выполняющим роль контроллера домена, DHCP и DNS-сервера. Все устройства подключены к стандартному коммутатору, который, в свою очередь, подключен к стандартному широкополосному модему.

Сетевые настройки TCP для каждой рабочей станции:

192.168.0.50IP-адрес DNS-сервера 192.168.0.1IP-адрес шлюза модема 8.8.8.8является публичным DNS-сервером Google

Это хороший план? Есть ли смысл в том числе IP модема в этом списке? Я заметил, что DNS-сервер Windows получает и кеширует запросы для общедоступных веб-сайтов. Должен ли DNS-сервер Google быть выше списка?

windows windows-server-2012-r2 local-area-network userSteve
источник

Мне пришлось исправить эту конфигурацию (удалить все, кроме внутреннего DNS-сервера) на сайте клиента один раз. Симптомами было то, что иногда машины не могли связаться с контроллером домена для входа в систему. Потребовалось около 2 минут, чтобы диагностировать и исправить, и, к счастью, оплата была за час или его часть!

Мэтью Стиплз

Ответы:

На рабочих станциях ваш внутренний DNS-сервер должен быть единственным DNS-сервером в конфигурации TCP / IP.

ПК выбирают DNS-сервер из списка и некоторое время придерживаются его. Поэтому, если по какой-то причине ваши рабочие станции выберут ваш модем или DNS-сервер Google, разрешение вашего внутреннего имени домена AD перестанет работать.

При желании вы можете указать DNS-серверы Google или модема в качестве серверов пересылки на DNS-сервере вашего DC. Но DNS-сервер на DC может также выполнять все внешние разрешения без каких-либо серверов пересылки. Использование DNS-серверов вашего интернет-провайдера в качестве серверов пересылки на внутреннем DNS-сервере может иметь больше смысла. Но вам не нужно использовать никаких экспедиторов вообще

Евгений Мартыненко
источник

Хорошо, но что, если внутренний DNS-сервер по какой-то причине не работает, это остановит доступ рабочих станций к общедоступным веб-сайтам?

userSteve

@userSteve да. Ваша задача здесь состоит в том, чтобы обеспечить достаточную надежность внутреннего DNS-сервера или иметь несколько таких серверов, если избыточность важна в соответствии с вашими требованиями SLA

Cosmic Ossifrage

@userSteve ваш внутренний DNS-сервер жизненно важен для правильной работы Active Directory (аутентификация, доступ к ресурсам и т. д.). Вы правы, если внутренний DNS-сервер не работает, компьютеры также не смогут выходить в интернет. Но правильное решение - иметь 2 или более внутренних DNS-сервера. Если у вас будет настроен вторичный внешний DNS-сервер на ПК, они будут использовать его даже после того, как ваш внутренний DNS-сервер снова подключится. И тут возникает проблема - ваши пользователи не смогут проходить проверку подлинности в Active Directory, получать доступ к ресурсам и т. Д.

Евгений Мартыненко

В зависимости от марки и модели вы можете настроить свой 192.168.0.1 так, чтобы он действовал как дополнительный DNS-сервер для вашей внутренней зоны AD ...

Хаген фон

@HagenvonEitzen Обновления DDNS с ПК не будут работать на вторичных серверах. Таким образом, предложение может решить проблему частично, но принесет другие проблемы

Евгений Мартыненко

-4

Добавление модема не очень хорошая идея, нет.

Сценарий:

Ваш внутренний DNS-сервер по какой-либо причине не отвечает. Это вызывает задержку, поскольку это истекло.

Затем, если он спросит модем, он не получит ответа. Это вводит вторую задержку по мере истечения времени ожидания.

Затем он попробует Google, который, как можно предположить, будет отвечать, пока у вас есть соединение.

Таким образом, удаление записи модема сделает его доступным к Google быстрее, если ваш внутренний DNS не отвечает.

Суть в том, что вы должны иметь возможность полагаться на свой внутренний DNS. Но если вы не можете доверять этому, то наличие Google в качестве резервной копии не является проблемой.

SDsolar
источник

Подозреваю, что кто-то проголосовал, потому что, если модем не работает, Интернет будет недоступен. Простая настройка офиса вряд ли будет иметь несколько избыточных ссылок.

Кригги

Пониженное голосование, потому что это предполагает, что допустимо добавлять DNS-серверы, не основанные на контроллере домена, в качестве дополнительных DNS-серверов на сетевых интерфейсных картах клиента или сервера. Это вызовет неисчислимые проблемы из-за реализации службы Resolver на стороне клиента, которая будет поддерживать свои предпочтения DNS в течение длительного периода времени даже после восстановления работы сервера. См. Эту статью для получения дополнительной информации: blogs.msmvps.com/acefekay/2016/10/15/…

Космическое Ossifrage

Достаточно справедливо, @Cosmic. Фактически, моей первой мыслью при ответе на это было сказать, что у пользователя не должно быть никаких собственных настроек вообще, если они используют внутренний сервер DHCP / DNS. Но ОП, похоже, действительно спрашивал конкретно о включении модема, поэтому я ответил соответственно.

SDsolar