Thứ tự của các máy chủ DNS phải là gì đối với Bộ điều khiển miền AD và tại sao?

40

Đây là Câu hỏi Canonical về Cài đặt DNS của Active Directory.

Liên quan:

Giả sử một môi trường có nhiều bộ điều khiển miền (giả sử rằng tất cả chúng cũng chạy DNS):

  • Các máy chủ DNS nên được liệt kê theo thứ tự nào trong các bộ điều hợp mạng cho mỗi bộ điều khiển miền?
  • Có nên sử dụng 127.0.0.1 làm máy chủ DNS chính cho mỗi bộ điều khiển miền không?
  • Liệu nó có làm nên sự khác biệt nào không, nếu có thì phiên bản nào bị ảnh hưởng và làm thế nào?
windows  domain-name-system  active-directory  domain-controller 
MDMarra
nguồn

Câu trả lời:

35

Theo liên kết này và Trình phân tích thực tiễn tốt nhất của Windows Server 2008 R2, địa chỉ loopback phải có trong danh sách, nhưng không bao giờ là máy chủ DNS chính. Trong một số trường hợp nhất định như thay đổi cấu trúc liên kết, điều này có thể phá vỡ sự sao chép và khiến máy chủ "ở trên một hòn đảo" khi có liên quan đến sao chép.

Giả sử bạn có hai máy chủ: DC01 (10.1.1.1) và DC02 (10.1.1.2) là cả hai bộ điều khiển miền trong cùng một miền và cả hai đều giữ các bản sao của vùng ADI cho miền đó. Chúng nên được cấu hình như sau:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
nguồn
Còn một môi trường với DC và máy chủ DNS có vùng ADI thì sao? DC vẫn nên được cấu hình là chính cho phụ?
George
@George Tôi không làm theo những gì bạn yêu cầu. Bạn đang hỏi về một môi trường chỉ có một bộ điều khiển miền?
MDMarra
Vâng đúng rồi. Xin lỗi, tôi nghĩ về việc thêm nó nhưng nghĩ rằng nó có thể vượt quá câu hỏi. (Ngoài ra - đối với bản ghi tôi biết rằng một môi trường DC duy nhất không phải là "cấu hình lý tưởng")
George
2
Trong một môi trường DC duy nhất, bạn chỉ nên sử dụng DC mà không có gì là thứ yếu. Điều này là để giảm các vấn đề sao chép, nhưng nếu bạn chỉ có một DC thì không có bản sao. Nhưng, vâng ... đừng làm vậy. Có hai DC.
MDMarra
Vâng. Không có một môi trường "tuyệt vời" tại thời điểm này, như nó là. Nhưng như bạn có thể thấy từ câu hỏi khác của tôi mà bạn đã trả lời, việc mở rộng đang diễn ra như vậy, các miền AD mới và thời gian để thực hiện những điều xấu xa đúng đắn . Cảm ơn.
George
16

Từ http://technet.microsoft.com/en-us/l Library / ff807362% 28v = ws.10% 29.aspx

Nếu địa chỉ IP loopback là mục đầu tiên trong danh sách máy chủ DNS, Active Directory có thể không thể tìm thấy các đối tác sao chép của nó.

Việc đưa địa chỉ IP của chính nó vào danh sách các máy chủ DNS giúp cải thiện hiệu suất và tăng tính khả dụng của các máy chủ DNS. Tuy nhiên, nếu máy chủ DNS cũng là bộ điều khiển miền và nó chỉ trỏ đến chính nó hoặc trỏ đến chính nó trước để phân giải tên, điều này có thể gây ra sự chậm trễ trong quá trình khởi động. Vì lý do này, hãy thận trọng khi định cấu hình địa chỉ loopback trên bộ điều hợp nếu máy chủ cũng là bộ điều khiển miền. Địa chỉ loopback chỉ nên được cấu hình như một máy chủ DNS thứ cấp hoặc cấp ba trên bộ điều khiển miền.

Tôi cũng muốn chia sẻ đoạn trích này từ cuốn sách Windows Server 2008 R2 Unleashed :

nhập mô tả hình ảnh ở đây

Tuy nhiên, ngay cả khi bạn không bao giờ bị ảnh hưởng bởi sự cố "đảo", DC của bạn vẫn sẽ khởi động lại nhanh hơn nhiều và có ít lỗi hơn nếu nó sử dụng một DC khác đã được cài đặt và chạy DC làm trình phân giải DNS chính.

Ryan Ries
nguồn
Woah, vấn đề đảo là cố định? Tài liệu MS cho 2008 R2 được sử dụng để tham chiếu nó và bây giờ nó đã biến mất một cách kỳ diệu (tôi đã trích dẫn nó trong một tài liệu cho một khách hàng để tôi biết rằng tôi không điên!)
MDMarra
3
Chà, tôi sẽ nói rằng họ đã giảm nhẹ nó, nhưng như bài viết này cho thấy, dường như vẫn có thể khiến bạn rơi vào một điểm xấu nếu bạn có một số trường hợp rất đặc biệt: support.microsoft.com/kb/2001093 Vì vậy, vào cuối một ngày nào đó, bạn có thể sẽ ổn với 127.0.0.1 làm DNS chính trên các DC hiện đại của mình trong miền đa DC. Cá nhân tôi đã thấy các tên miền rất lớn đang hoạt động sạch mặc dù chúng có tất cả các DC được thiết lập với 127.0.0.1 làm DNS chính. Nhưng nó vẫn không phải là thực hành tốt nhất. Chỉ cần làm những gì BPA của bạn nói, folks. ;)
Ryan Ries
5

Không bao giờ, có bao giờ DC sử dụng chính nó làm DNS chính.

Tất cả các loại tàn phá có thể (và Murphy ra lệnh: sẽ) xảy ra nếu các dịch vụ quảng cáo trực tuyến trước khi dịch vụ DNS hoạt động sau khi khởi động lại. (Hoặc sự cố DNS, bị DOS, bất cứ điều gì.)
Ngoài ra còn có sự tương tác giữa DHCP (với các bản cập nhật DNS động) và DNS phụ thuộc nhiều vào DNS hoạt động đúng.

Luôn đặt 127.0.0.1 sau cùng. Ngoài ra: Đừng cố sử dụng địa chỉ IP LAN thực của máy chủ.
Cập nhật DNS động từ DHCP rất nhạy cảm với điều này.
(127.0.0.1 luôn tồn tại và có thể được truy cập nhanh hơn. Địa chỉ IP thực có thể không phải lúc nào cũng có sẵn / bận rộn. với trình điều khiển phụ / trình điều khiển.)

Tấn
nguồn
Mặc dù bạn đúng về mọi thứ và có hàng triệu lý do để có nhiều hơn một DC, nhưng đây không phải là một trong số đó. Cấu hình này ngăn ngừa các vấn đề sao chép. Nếu bạn không có nhu cầu sao chép, bạn không cần lo lắng về việc ngăn chặn sự cố sao chép.
MDMarra
@MDMarra: Bạn đúng về sao chép / tương tác DNS ... Nhưng câu hỏi ban đầu là một câu hỏi chung và không cụ thể sao chép. Tôi đã suy nghĩ nhiều hơn về các vấn đề DHCP-DNS. Thông thường, ít nhất một trong số các DC cũng cung cấp DHCP với các cập nhật DNS động. Tất cả các loại kỳ lạ có thể xảy ra nếu DNS không được cấu hình đúng. Tôi sẽ cập nhật câu trả lời của tôi để làm rõ điều đó.
Tonny
1
Đây thực sự là một vấn đề bảo mật nếu DHCP được triển khai trên DC. nếu có thể, nó không nên
MDMarra
"Luôn đặt 127.0.0.1 lần cuối" Bạn có thể giải thích thêm về lý do đằng sau việc này không?
Bigbio2002
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.