Quale dovrebbe essere l'ordine dei server DNS per un controller di dominio AD e perché?

40

Questa è una domanda canonica sulle impostazioni DNS di Active Directory.

Relazionato:

Supponendo un ambiente con più controller di dominio (supponiamo che tutti eseguano anche DNS):

  • in quale ordine devono essere elencati i server DNS nelle schede di rete per ciascun controller di dominio?
  • 127.0.0.1 dovrebbe essere usato come server DNS primario per ciascun controller di dominio?
  • Fa qualche differenza, in caso affermativo quali versioni sono interessate e come?
windows  domain-name-system  active-directory  domain-controller 
MDMarra
fonte

Risposte:

35

In base a questo collegamento e all'analizzatore delle best practice di Windows Server 2008 R2, l'indirizzo di loopback dovrebbe essere nell'elenco, ma mai come server DNS primario. In alcune situazioni come una modifica della topologia, ciò potrebbe interrompere la replica e causare un server "su un'isola" per quanto riguarda la replica.

Supponi di avere due server: DC01 (10.1.1.1) e DC02 (10.1.1.2) che sono entrambi controller di dominio nello stesso dominio ed entrambi detengono copie delle zone ADI per quel dominio. Dovrebbero essere configurati come segue:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
fonte
Che dire di un ambiente con un controller di dominio e un server DNS con una zona ADI? Il DC dovrebbe essere ancora configurato come primario al secondario?
George,
@George, non seguo quello che mi stai chiedendo. Stai chiedendo un ambiente con un solo controller di dominio?
MDMarra,
Sì, è corretto. Siamo spiacenti, ho pensato di aggiungere questo, ma ho pensato che avrebbe potuto ingombrare la domanda. (Inoltre, per la cronaca, so che un singolo ambiente DC non è una "configurazione ideale")
George
2
In un singolo ambiente DC, dovresti fare in modo che il DC si usi da solo senza nulla di secondario. Questo per ridurre i problemi di replica, ma se si dispone di un solo controller di dominio, non esiste alcuna replica. Ma sì ... non farlo. Avere due DC.
MDMarra,
Si. Al momento non ho un "grande" ambiente, per così dire. Ma come puoi aver visto dalla mia altra domanda a cui hai risposto, l'espansione è in arrivo, quindi nuovi domini AD e tempo per fare le cose in modo corretto risate malvagie . Grazie.
George,
16

Da http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Se l'indirizzo IP di loopback è la prima voce nell'elenco dei server DNS, Active Directory potrebbe non essere in grado di trovare i partner di replica.

L'inclusione del proprio indirizzo IP nell'elenco dei server DNS migliora le prestazioni e aumenta la disponibilità dei server DNS. Tuttavia, se il server DNS è anche un controller di dominio e punta solo a se stesso o punta a se stesso per la risoluzione dei nomi, ciò può causare un ritardo durante l'avvio. Per questo motivo, prestare attenzione quando si configura l'indirizzo di loopback su un adattatore se il server è anche un controller di dominio. L'indirizzo di loopback deve essere configurato solo come server DNS secondario o terziario su un controller di dominio.

Voglio anche condividere questo frammento dal libro Windows Server 2008 R2 scatenato :

inserisci qui la descrizione dell'immagine

Tuttavia, anche se non si è mai interessati dal problema "isola", il controller di dominio verrà riavviato molto più rapidamente e con meno errori se utilizza un altro controller di dominio già attivo e in esecuzione come risolutore DNS primario.

Ryan Ries
fonte
Woah, il problema dell'isola è stato risolto? La documentazione di MS per il 2008 R2 faceva riferimento a questo e ora è magicamente scomparsa (l'avevo citata in blocco in un documento per un cliente, quindi so di non essere pazza!)
MDMarra,
3
Bene, direi che l'hanno mitigato principalmente, ma come mostra questo articolo, sembra ancora possibile mettersi in una brutta posizione se ci sono circostanze molto particolari: support.microsoft.com/kb/2001093 Quindi alla fine di al giorno, probabilmente starai bene con 127.0.0.1 come DNS primario sui tuoi DC moderni in un dominio multi-DC. Personalmente ho visto domini molto grandi che funzionavano in modo pulito anche se avevano tutti i loro controller di dominio impostati con 127.0.0.1 come DNS primario. Ma non è ancora la migliore pratica. Fai solo quello che dice il tuo BPA, gente. ;)
Ryan Ries il
5

Mai e poi mai un controller di dominio si utilizza come DNS primario.

Tutti i tipi di caos possono (e Murphy impone: succederà) se i servizi AD diventano online prima che il servizio DNS sia attivo dopo un riavvio. (O il DNS si arresta in modo anomalo, viene DOSizzato, comunque.)
Esiste anche l'interazione tra DHCP (con aggiornamenti DNS dinamici) e DNS che dipende fortemente dal corretto funzionamento del DNS.

Metti sempre l'ultimo 127.0.0.1. Inoltre: non essere tentato di utilizzare neanche l'indirizzo IP della LAN reale del server.
Gli aggiornamenti DNS dinamici da DHCP sono molto sensibili a questo.
(127.0.0.1 esiste sempre ed è possibile accedervi più velocemente. L'indirizzo IP reale potrebbe non essere sempre disponibile / essere occupato. In alcuni scenari gli aggiornamenti DNS dinamici possono effettivamente DOSare l'adattatore LAN se vi è una elevata quantità di richieste DHCP simultanee combinate con NIC / driver secondari.)

Tonny
fonte
Mentre hai ragione praticamente su tutto e ci sono un milione di ragioni per avere più di una DC, questa non è una di queste. Questa configurazione impedisce problemi di replica. Se non hai la necessità di replicare, non devi preoccuparti di prevenire problemi di replica.
MDMarra,
@MDMarra: hai ragione sulla replica / interazione DNS ... Ma la domanda originale era una domanda generale e non specifica della replica. Stavo pensando di più ai problemi DHCP-DNS. Di solito almeno uno dei controller di dominio fornisce anche DHCP con aggiornamenti DNS dinamici. Tutti i tipi di stranezze possono verificarsi se il DNS non è configurato correttamente. Aggiornerò la mia risposta per chiarirlo.
Tonny,
1
In realtà è un problema di sicurezza se il DHCP è distribuito su un controller di dominio. se è possibile, non dovrebbe esserlo.
MDMarra,
"Metti sempre l'ultimo 127.0.0.1" Puoi approfondire i motivi alla base di questo?
Bigbio2002,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.