Mat*_*ish 1 domain-name-system dhcp windows active-directory group-policy
在我降级 DC/DNS 服务器后,我刚刚遇到了几个小时的工作,试图解决我的域中的 DNS 问题(此处说明了WinXP 使用旧的 DNS 服务器 IP,即使在 DHCP 和盒子上发生了变化)。
有一个愚蠢的组策略(不知道为什么,但我会保留它)强制 DNS 服务器;更改了它,但是客户端无法访问域(因为主 DNS 已关闭 - 为什么 Windows 不尝试运行正常的辅助 DNS?!?!?)......那么我该如何强制组策略覆盖(以便桌面可以再次找到域)或以某种方式将组策略恢复到他们的计算机上?啊...
我在那里看到我们有两个 DNS 服务器的 IP,然后是我们 ISP 的两个 DNS 服务器的 IP。
问题是——在 DHCP 正在处理分发 DNS 条目的环境中,是否应该使用组策略中的 DNS 覆盖该条目?尽管在详细记录后它让我感到震惊,但将来应该不会出现问题 - 但我想知道该政策是应该保留还是保留?ISP DNS 服务器的两个 IP 是否重要(每个 DC 上的 DNS 服务器都设置为转发到这些 IP)?客户会需要它们吗?
最佳实践 = 不,不要通过 GPO 申请。
DHCP 会将请求转发到您选择的少数 DNS 服务器。然后 DNS 会将请求转发出去。
如果要将特殊设置应用于特定工作站(基于 GPO 范围、机器/用户成员资格),则通常使用 GPO 来定义 DNS 服务器。内网测试机。一个更好的例子是将用户锁定在互联网之外。如果用户是 Deny_Internet 安全组的成员,并且您将其定义为 Set_Bogus_DNS GPO 的范围,则属于该组成员的用户将无法上网,因为他们将无法解析任何地址.
定义外部 DNS 服务器的缺点是,在发生重大病毒/蠕虫爆发的情况下,您无法锁定有问题的域。通过 DHCP 将您的机器指向内部 DNS 服务器,如果需要,您可以通过在您自己的 DNS 框上创建 DNS 主区域来锁定 www.malware-spreading-site.org,并将 www 指向 127.0.0.1。
总之,将内部机器指向外部 DNS 是不好的。坏坏坏。淘气。其次,在这种情况下,使用 DHCP 比 GPO 更好。
| 归档时间: |
|
| 查看次数: |
15884 次 |
| 最近记录: |