Bir AD Etki Alanı Denetleyicisi için DNS sunucularının sırası ne olmalıdır ve Neden?

40

Bu, Active Directory DNS Ayarları ile ilgili Kanonik bir Soru .

İlgili:

Birden fazla etki alanı denetleyicisine sahip bir ortam varsayarak (hepsinin de DNS çalıştırdığını varsayalım):

  • DNS sunucuları her etki alanı denetleyicisinin ağ bağdaştırıcılarında hangi sırayla listelenmelidir?
  • Her etki alanı denetleyicisi için 127.0.0.1 birincil DNS sunucusu olarak mı kullanılmalı?
  • Varsa, hangi sürümleri etkiliyor ve nasıl etkiliyor?
windows  domain-name-system  active-directory  domain-controller 
MDMarra
kaynak

Yanıtlar:

35

Göre bu bağlantıyı ve Windows Server 2008 R2 iyi yöntemler çözümleyici, geri döngü adresi ama listede olmalı asla birincil DNS sunucusu olarak. Topoloji değişikliği gibi bazı durumlarda bu, çoğaltmayı bozabilir ve sunucunun çoğaltma ile ilgili olarak "bir adada" olmasına neden olabilir.

İki sunucunuz olduğunu söyleyin: DC01 (10.1.1.1) ve DC02 (10.1.1.2) aynı etki alanındaki etki alanı denetleyicileridir ve her ikisi de bu etki alanı için ADI bölgelerinin kopyalarını tutar. Aşağıdaki gibi yapılandırılmalıdır:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
kaynak
DC'li bir ortam ve ADI bölgesi olan bir DNS sunucusu hakkında ne düşünüyorsunuz? DC hala ikincil için birincil olarak mı yapılandırılmalıdır?
George
@ George Ne istediğini takip etmiyorum. Yalnızca bir etki alanı denetleyicisine sahip bir ortam mı soruyorsunuz?
MDMarra
Evet doğru. Üzgünüm, bunu eklemeyi düşündüm ama soruyu çözebileceğini düşündüm. (Ayrıca - kayıt için tek bir DC ortamının "ideal bir yapılandırma" olmadığını biliyorum)
George
2
Tek bir DC ortamında, DC'nin kendisini ikincil olarak hiçbir şey olmadan kullanmasını sağlamalısınız. Bu, çoğaltma sorunlarını azaltmak içindir, ancak yalnızca bir DC'niz varsa, çoğaltma yoktur. Ama, evet ... bunu yapma. İki tane DC var.
MDMarra
Evet. Şu anda olduğu gibi "harika" bir ortam yok. Ancak, benim yanıtladığınız diğer sorumdan da görmüş olabileceğiniz gibi, genişleme yolda, yeni AD etki alanları ve şeytani bir şekilde kötü bir şekilde gülmek için zaman . Teşekkürler.
George
16

Http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx adresinden

Geridöngü IP adresi, DNS sunucuları listesine ilk girdiyse, Active Directory çoğaltma ortaklarını bulamıyor olabilir.

Kendi IP adresinin DNS sunucuları listesine dahil edilmesi performansı arttırır ve DNS sunucularının kullanılabilirliğini arttırır. Ancak, DNS sunucusu aynı zamanda bir etki alanı denetleyicisiyse ve yalnızca kendisine işaret ediyorsa veya ad çözümlemesi için önce kendisine işaret ediyorsa, bu başlatma sırasında gecikmeye neden olabilir. Bu nedenle, sunucu aynı zamanda bir etki alanı denetleyicisi ise bağdaştırıcıda geridöngü adresini yapılandırırken dikkatli olun. Geridöngü adresi, yalnızca bir etki alanı denetleyicisinde ikincil veya üçüncül bir DNS sunucusu olarak yapılandırılmalıdır.

Ayrıca bu parçayı Windows Server 2008 R2 Unleashed kitabından paylaşmak istiyorum :

görüntü tanımını buraya girin

Ancak, "ada" sorunundan asla etkilenmeseniz bile, DC'niz birincil DNS çözümleyicisi olarak zaten çalışıyor ve çalışan bir DC kullanıyorsa , DC çok daha hızlı ve daha az hatayla yeniden başlatılır .

Ryan Ries
kaynak
Vay, adanın sorunu giderildi mi? 2008 R2 için MS dokümantasyonu referans vermek için kullanıldı ve şimdi sihirli bir şekilde ortadan kayboldu (Bir müşteri için bir belgede alıntı yaptım, bu yüzden deli olmadığımı biliyorum!)
MDMarra
3
Eh, en çok azalttıklarını söyleyebilirim, ancak bu makalede gösterildiği gibi, bazı çok özel koşullarınız varsa, kendinizi kötü bir noktaya sokmak hala mümkün görünüyor: Sonuç olarak Bir gün, bir çok DC etki alanında modern DC'lerde birincil DNS olarak 127.0.0.1 ile muhtemelen iyi olacak . 127.0.0.1 ile birincil DNS olarak ayarlanmış tüm DC'lerini almış olsalar bile, kişisel olarak temiz çalışan çok büyük etki alanları gördüm. Ama yine de en iyi uygulama değil. BPA'nızın ne dediğini yapın millet. ;)
Ryan Ries
5

Asla, asla bir DC'yi Birincil DNS olarak kullanmaz.

AD hizmetleri, DNS hizmeti yeniden başlatıldıktan sonra yayınlanmadan önce çevrimiçi hale gelirse, her türlü tahribat olabilir (ve Murphy'nin belirttiği gibi: olacaktır). (Ya da DNS çöküyor, DOSsed olursa olsun, ne olursa olsun.)
DHCP (dinamik DNS güncelleştirmeleriyle birlikte) ile DNS'nin düzgün çalışmasına büyük ölçüde bağlı olan etkileşim de var.

Daima 127.0.0.1'i en son koyun. Ayrıca: Sunucunun gerçek LAN ip adresini de kullanmaya özen göstermeyin.
DHCP'den gelen dinamik DNS güncellemeleri buna çok duyarlıdır.
(127.0.0.1 her zaman var ve daha hızlı bir şekilde erişilebilir. Gerçek ip adresi her zaman mevcut olmayabilir / meşgul olabilir. Bazı senaryolarda, dinamik DNS güncellemeleri, eğer yüksek miktarda eşzamanlı DHCP talebi varsa, aslında LAN adaptörünü DOS yapabilir. alt NIC / sürücüleri ile.)

Tonny
kaynak
Her şey hakkında haklı olsanız ve birden fazla DC'ye sahip olmanız için milyonlarca neden olsa da, bu onlardan biri değil. Bu yapılandırma çoğaltma sorunlarını önler. Çoğaltmanız gerekmiyorsa, çoğaltma sorunlarını önlemek konusunda endişelenmenize gerek yoktur.
MDMarra
@ MDDarra: Çoğaltma / DNS etkileşimi konusunda haklısın ... Ama asıl soru, genel bir soruydu ve çoğaltma ile ilgili değildi. DHCP-DNS sorunları hakkında daha çok düşünüyordum. Genellikle DC'lerden en az biri, DHCP'ye dinamik DNS güncellemeleri sağlar. DNS uygun şekilde yapılandırılmadığında her türlü tuhaflık oluşabilir. Bunu netleştirmek için cevabımı güncelleyeceğim.
Tonny
1
DHCP bir DC üzerine kuruluysa bu bir güvenlik sorunudur. Mümkünse, olmamalı.
MDMarra
“Her zaman 127.0.0.1'i son koyun” Bunun arkasındaki nedenler hakkında daha ayrıntılı bilgi verebilir misiniz?
Bigbio2002
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.