Каким должен быть порядок DNS-серверов для контроллера домена AD и почему?

Это канонический вопрос о настройках DNS Active Directory.

Связанные с:

Предполагая среду с несколькими контроллерами домена (предположим, что все они также работают с DNS):

  • в каком порядке DNS-серверы должны быть указаны в сетевых адаптерах для каждого контроллера домена?
  • Следует ли использовать 127.0.0.1 в качестве основного DNS-сервера для каждого контроллера домена?
  • Имеет ли какое-то значение, если да, то на какие версии влияют и как?
Источник

3 ответа

Решение

Согласно этой ссылке и анализатору соответствия рекомендациям для Windows Server 2008 R2, адрес обратной связи должен быть в списке, но не в качестве основного DNS-сервера. В определенных ситуациях, таких как изменение топологии, это может нарушить репликацию и привести к тому, что сервер будет "на острове" в отношении репликации.

Предположим, у вас есть два сервера: DC01 (10.1.1.1) и DC02 (10.1.1.2), которые оба являются контроллерами домена в одном домене и оба содержат копии зон ADI для этого домена. Они должны быть настроены следующим образом:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
Источник

С http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Если петлевой IP-адрес является первой записью в списке DNS-серверов, Active Directory может быть не в состоянии найти своих партнеров по репликации.

Включение собственного IP-адреса в список DNS-серверов повышает производительность и повышает доступность DNS-серверов. Однако, если DNS-сервер также является контроллером домена и указывает только на себя или указывает на себя в первую очередь для разрешения имен, это может вызвать задержку во время запуска. По этой причине соблюдайте осторожность при настройке адреса обратной связи на адаптере, если сервер также является контроллером домена. Адрес обратной связи должен быть настроен только как вторичный или третичный DNS-сервер на контроллере домена.

Я также хочу поделиться этим фрагментом из книги Windows Server 2008 R2 Unleashed:

введите описание здесь

Тем не менее, даже если проблема "острова" вас никогда не затронет, ваш DC все равно будет перезагружаться гораздо быстрее и с меньшим количеством ошибок, если он использует другой уже запущенный и работающий DC в качестве основного преобразователя DNS.

Источник

Никогда, когда-либо DC не использовал себя как Основной DNS.

Все виды хаоса могут (и Мерфи диктует: произойдет), если службы AD перейдут в оперативный режим до того, как служба DNS начнет работать после перезагрузки. (Или DNS падает, получает DOSsed, что угодно.)
Существует также взаимодействие между DHCP (с динамическими обновлениями DNS) и DNS, которое сильно зависит от правильной работы DNS.

Всегда ставьте 127.0.0.1 последним. Также: не поддавайтесь искушению использовать реальный IP-адрес локальной сети сервера.
Динамические обновления DNS от DHCP очень чувствительны к этому.
(127.0.0.1 всегда существуют и могут быть доступны быстрее. Реальный IP-адрес не всегда может быть доступен / занят. В некоторых сценариях динамические обновления DNS могут фактически DOS адаптера ЛВС, если объединено большое количество одновременных запросов DHCP с подпаритетом NIC/ драйверов.)

Источник
Другие вопросы по тегам