ลำดับของเซิร์ฟเวอร์ DNS ควรเป็นอย่างไรสำหรับตัวควบคุมโดเมน AD และเพราะเหตุใด

40

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับการตั้งค่า DNS ของ Active Directory

ที่เกี่ยวข้อง:

สมมติว่าสภาพแวดล้อมที่มีหลายโดเมนคอนโทรลเลอร์ (สมมติว่าพวกเขาทั้งหมดใช้ DNS เช่นกัน):

  • เซิร์ฟเวอร์ DNS ควรจะแสดงรายการอะไรในอะแดปเตอร์เครือข่ายสำหรับแต่ละโดเมนคอนโทรลเลอร์
  • ควรใช้ 127.0.0.1 เป็นเซิร์ฟเวอร์ DNS หลักสำหรับแต่ละโดเมนคอนโทรลเลอร์หรือไม่
  • มันสร้างความแตกต่างหรือไม่หากเป็นเช่นนั้นเวอร์ชันใดที่ได้รับผลกระทบและจะเป็นอย่างไร
windows  domain-name-system  active-directory  domain-controller 
MDMarra
แหล่งที่มา

คำตอบ:

35

ตามลิงค์นี้และตัววิเคราะห์วิธีปฏิบัติที่ดีที่สุดของ Windows Server 2008 R2 ที่อยู่ลูปแบ็คควรอยู่ในรายการ แต่ไม่ควรเป็นเซิร์ฟเวอร์ DNS หลัก ในบางสถานการณ์เช่นการเปลี่ยนแปลงโทโปโลยีสิ่งนี้อาจทำลายการจำลองแบบและทำให้เซิร์ฟเวอร์เป็น "บนเกาะ" ตราบใดที่การเรพลิเคทเกี่ยวข้อง

สมมติว่าคุณมีเซิร์ฟเวอร์สองเครื่อง: DC01 (10.1.1.1) และ DC02 (10.1.1.2) ที่มีทั้งตัวควบคุมโดเมนในโดเมนเดียวกันและทั้งสองถือสำเนาของโซน ADI สำหรับโดเมนนั้น ควรกำหนดค่าดังต่อไปนี้:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
แหล่งที่มา
สภาพแวดล้อมที่มี DC และเซิร์ฟเวอร์ DNS ที่มีโซน ADI คืออะไร DC ควรจะยังคงถูกกำหนดค่าเป็นหลักในการรองหรือไม่?
George
@ George ฉันไม่ได้ติดตามสิ่งที่คุณถาม คุณกำลังถามเกี่ยวกับสภาพแวดล้อมที่มีเพียงหนึ่งโดเมนคอนโทรลเลอร์หรือไม่?
MDMarra
ใช่ที่ถูกต้อง. ขออภัยฉันคิดว่าจะเพิ่มสิ่งนี้ แต่คิดว่าอาจเป็นปัญหาจำนวนมาก (เช่น - สำหรับบันทึกฉันรู้ว่าสภาพแวดล้อม DC เดียวไม่ใช่ "อุดมคติการกำหนดค่า")
George
2
ในสภาพแวดล้อม DC เดียวคุณควรให้ DC ใช้ตัวเองโดยไม่มีอะไรรอง นี่คือการลดปัญหาการจำลองแบบ แต่ถ้าคุณมี DC เพียงอันเดียวก็จะไม่มีการจำลองแบบ แต่ใช่ ... อย่าทำอย่างนั้น มีสอง DC
MDMarra
ใช่. ไม่ได้มีสภาพแวดล้อม "ยอดเยี่ยม" ในขณะนี้เหมือนเดิม แต่เป็นคุณอาจจะได้เห็นจากคำถามอื่น ๆ ของฉันที่คุณตอบว่าการขยายตัวอยู่ในทางดังนั้นโดเมนโฆษณาใหม่และเวลาที่จะทำสิ่งที่ถูกต้องหัวเราะชั่วร้าย ขอบคุณ
จอร์จ
16

จากhttp://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

หากที่อยู่ IP ลูปแบ็คเป็นรายการแรกในรายการเซิร์ฟเวอร์ DNS, Active Directory อาจไม่พบพันธมิตรการจำลองแบบ

การรวมที่อยู่ IP ของตัวเองในรายการเซิร์ฟเวอร์ DNS ช่วยปรับปรุงประสิทธิภาพและเพิ่มความพร้อมใช้งานของเซิร์ฟเวอร์ DNS อย่างไรก็ตามหากเซิร์ฟเวอร์ DNS เป็นตัวควบคุมโดเมนและชี้ไปที่ตัวเองเท่านั้นหรือชี้ไปที่ตัวเองก่อนสำหรับการจำแนกชื่อสิ่งนี้อาจทำให้เกิดความล่าช้าในระหว่างการเริ่มต้น ด้วยเหตุผลนี้ให้ใช้ความระมัดระวังเมื่อกำหนดค่าที่อยู่ลูปแบ็คบนอะแดปเตอร์หากเซิร์ฟเวอร์เป็นตัวควบคุมโดเมน ที่อยู่ลูปแบ็คควรได้รับการกำหนดค่าเป็นเซิร์ฟเวอร์ DNS สำรองหรือเซิร์ฟเวอร์ระดับอุดมศึกษาในโดเมนคอนโทรลเลอร์เท่านั้น

ฉันต้องการแชร์ตัวอย่างนี้จากหนังสือWindows Server 2008 R2 Unleashed :

ป้อนคำอธิบายรูปภาพที่นี่

อย่างไรก็ตามแม้ว่าคุณจะไม่เคยได้รับผลกระทบจากปัญหา "เกาะ" DC ของคุณจะยังคงรีบูตได้เร็วขึ้นมากและมีข้อผิดพลาดน้อยลงหากใช้อีกอันหนึ่งแล้วใช้ DC เป็นตัวแก้ไข DNS หลัก

Ryan Ries
แหล่งที่มา
ว้าวปัญหาเกาะได้รับการแก้ไขแล้ว? เอกสาร MS สำหรับ 2008 R2 เคยใช้อ้างอิงและตอนนี้มันหายไปอย่างน่าอัศจรรย์ (ฉันได้บล็อกที่ยกมาในเอกสารสำหรับลูกค้าดังนั้นฉันรู้ว่าฉันไม่ได้บ้า!)
MDMarra
3
ดีฉันจะบอกว่าพวกเขาบรรเทามันส่วนใหญ่ แต่ตามที่บทความนี้แสดงให้เห็นว่ามันยังคงเป็นไปได้ที่จะเข้าสู่จุดที่ไม่ดีถ้าคุณมีสถานการณ์ที่เฉพาะเจาะจงมาก: support.microsoft.com/kb/2001093 ดังนั้นเมื่อสิ้นสุด วันนั้นคุณอาจจะสบายดีกับ 127.0.0.1 เป็น DNS หลักใน DC ที่ทันสมัยของคุณในโดเมนหลาย DC ฉันเห็นว่ามีโดเมนขนาดใหญ่มากซึ่งทำงานอย่างหมดจดแม้ว่าพวกเขาจะตั้งค่า DC ทั้งหมดไว้กับ 127.0.0.1 เป็น DNS หลัก แต่มันก็ยังไม่ใช่วิธีปฏิบัติที่ดีที่สุด ทำสิ่งที่ BPA พูด ;)
Ryan Ries
5

ไม่เคยมี DC ใช้ตัวเองเป็น DNS หลัก

ความเสียหายทุกประเภทสามารถ (และ Murphy กำหนด: จะ) เกิดขึ้นหากบริการโฆษณาออนไลน์ก่อนที่บริการ DNS จะทำงานหลังจากรีบูต (หรือ DNS ขัดข้องรับ DOSsed อะไรก็ได้)
นอกจากนี้ยังมีการโต้ตอบระหว่าง DHCP (ด้วยการอัปเดต DNS แบบไดนามิก) และ DNS ซึ่งขึ้นอยู่กับ DNS ที่ทำงานอย่างถูกต้อง

ใส่ 127.0.0.1 ครั้งสุดท้ายเสมอ นอกจากนี้: อย่าล่อลวงให้ใช้ที่อยู่ IP จริงของเซิร์ฟเวอร์ด้วย
การอัปเดต DNS แบบไดนามิกจาก DHCP นั้นสำคัญมาก
(127.0.0.1 มีอยู่เสมอและสามารถเข้าถึงได้เร็วขึ้นที่อยู่ IP จริงอาจไม่พร้อมใช้งาน / ไม่ว่างในบางสถานการณ์การปรับปรุง DNS แบบไดนามิกสามารถ DOS อะแดปเตอร์ LAN จริง ๆ ถ้ามีการรวม DHCP พร้อมกันจำนวนมาก พร้อม NIC / ไดรเวอร์ย่อย)

Tonny
แหล่งที่มา
ในขณะที่คุณพูดถูกเกี่ยวกับทุกสิ่งทุกอย่างและมีเหตุผลหลายล้านข้อที่จะมี DC มากกว่าหนึ่งอันนี่ไม่ใช่หนึ่งในนั้น การกำหนดค่านี้ป้องกันปัญหาการจำลองแบบ หากคุณไม่มีความจำเป็นในการทำซ้ำคุณไม่จำเป็นต้องกังวลเกี่ยวกับการป้องกันปัญหาการจำลองแบบ
MDMarra
@MDMarra: คุณถูกต้องเกี่ยวกับการจำลองแบบ / การโต้ตอบ DNS ... แต่คำถามเดิมเป็นคำถามทั่วไปและไม่เฉพาะการจำลองแบบ ฉันคิดถึงเรื่อง DHCP-DNS มากขึ้น โดยปกติอย่างน้อยหนึ่งใน DC จะให้ DHCP พร้อมกับการอัปเดต DNS แบบไดนามิก ความแปลกประหลาดทุกประเภทอาจเกิดขึ้นได้หาก DNS ไม่ได้รับการกำหนดค่าอย่างเหมาะสม ฉันจะอัปเดตคำตอบของฉันเพื่อชี้แจงว่า
Tonny
1
อันที่จริงมันเป็นปัญหาด้านความปลอดภัยหากมีการปรับใช้ DHCP ใน DC ถ้าเป็นไปได้มันไม่ควรจะเป็น
MDMarra
"ใส่ 127.0.0.1 ครั้งสุดท้ายเสมอ" คุณช่วยอธิบายเพิ่มเติมเกี่ยวกับสาเหตุของเรื่องนี้ได้ไหม?
Bigbio2002
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.