Queste impostazioni DNS sono una buona idea o no?

8

Abbiamo una rete molto piccola (5 workstation) con un Windows Server che funge da controller di dominio, server DHCP e DNS. Tutti i dispositivi sono collegati a uno switch standard che a sua volta è collegato a un modem standard a banda larga.

Le impostazioni di rete TCP per ogni workstation sono: inserisci qui la descrizione dell'immagine

192.168.0.50è l'IP del server DNS. 192.168.0.1è l'IP del gateway modem 8.8.8.8è il server DNS pubblico di Google

È un buon piano? C'è qualche punto incluso l'IP del modem in quell'elenco? Ho notato che il server DNS di Windows riceve e memorizza nella cache richieste per siti Web pubblici. Il server DNS di Google dovrebbe essere più in alto nell'elenco?

windows  windows-server-2012-r2  local-area-network 
userSteve
fonte
6
Ho dovuto correggere una volta questa configurazione (rimuovere tutti tranne il server DNS interno) sul sito di un cliente. I sintomi erano che occasionalmente le macchine non potevano contattare il controller di dominio per accedere. Ci sono voluti circa 2 minuti per diagnosticare e correggere, e fortunatamente la fatturazione era all'ora o parte di essa!
Matthew Steeples,

Risposte:

29

Le stazioni di lavoro dovrebbero avere i server DNS interni come unici server DNS nella configurazione TCP / IP

I PC scelgono il server DNS dall'elenco e si attaccano ad esso per qualche tempo. Quindi, se per caso le tue workstation scegliessero il tuo modem o il server DNS di Google, la risoluzione del tuo nome di dominio AD interno smetterebbe di funzionare.

Opzionalmente puoi avere i server DNS di Google o modem specificati come server di inoltro sul server DNS del tuo DC. Ma il server DNS su DC potrebbe anche fare tutta la risoluzione esterna senza server d'inoltro. L'uso dei server DNS dell'ISP come server di inoltro sul server DNS interno potrebbe tuttavia avere più senso. Ma non è necessario utilizzare alcun spedizioniere

Jevgenij Martynenko
fonte
Ok, e se il server DNS interno fosse inattivo per qualche motivo, ciò impedirebbe alle workstation di accedere ai siti Web pubblici?
userSteve
4
@utenteSteve sì. il tuo compito qui è quello di garantire che il server DNS interno sia sufficientemente robusto o che disponga di più server se la ridondanza è importante nell'ambito dei requisiti SLA
Ossicrage cosmico
4
@userSteve il tuo server DNS interno è vitale per il corretto funzionamento di Active Directory (autenticazione, accesso alle risorse ecc.). Hai ragione, nel caso in cui il server DNS interno non sia attivo, anche i PC non saranno in grado di accedere a Internet. Ma la soluzione corretta è avere 2 o più server DNS interni. Se avessi un server DNS esterno secondario configurato su PC, si attaccherebbero anche dopo che il tuo server DNS interno è tornato online. Ed ecco il problema: i tuoi utenti non sarebbero in grado di eseguire l'autenticazione in Active Directory, accedere alle risorse, ecc.
Jevgenij Martynenko,
A seconda della marca e del modello, si potrebbe essere in grado di configurare il 192.168.0.1 in modo che funge da server secondario DNS per la vostra zona AD interna ...
Hagen von Eitzen
1
@HagenvonEitzen Gli aggiornamenti DDNS dai PC non funzioneranno su server secondari. Quindi il suggerimento potrebbe risolvere parzialmente il problema, ma porterebbe altri problemi
Jevgenij Martynenko
-4

Aggiungere il modem non è una buona idea, no.

Scenario:

Il tuo server DNS interno non risponde, per qualche motivo. Ciò provoca un ritardo quando scade.

Quindi se chiede al modem non otterrebbe risposta. Ciò introduce un secondo ritardo quando scade.

Quindi proverebbe Google, che si presume risponderà finché si dispone di una connessione.

Pertanto, la rimozione della voce modem consentirà di accedere a Google più rapidamente se il DNS interno non risponde.

La linea di fondo è che dovresti essere in grado di fare affidamento sul tuo DNS interno. Ma se non puoi fidarti di esso, avere Google come backup non è un problema.

SDsolar
fonte
sospetti che qualcuno abbia effettuato il downgrade perché se il modem è inattivo, Internet non sarà raggiungibile. È improbabile che una semplice configurazione dell'ufficio abbia più collegamenti ridondanti.
Criggie,
3
Downvoting perché ciò suggerisce che è accettabile aggiungere server DNS basati su controller di dominio non interni come server DNS aggiuntivi sulle schede di interfaccia di rete client o server. Ciò causerà problemi indicibili a causa dell'implementazione del servizio Client Side Resolver, che rimarrà sulle sue preferenze DNS per un lungo periodo anche dopo il backup del server. Vedi questo articolo per maggiori dettagli: blogs.msmvps.com/acefekay/2016/10/15/…
Cosmic Ossifrage
Abbastanza giusto, @Cosmic. In effetti, il mio primo pensiero nel rispondere a questo è stato quello di dire che l'utente non dovrebbe avere alcuna impostazione propria, se sta usando un server DHCP / DNS interno. Ma l'OP sembrava chiedersi in modo specifico sull'elenco del modem, quindi ho risposto di conseguenza.
SDsolar,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.