0 domain-name-system active-directory best-practices windows-server-2012
我的设置只有一个 Active Directory(不是多余的)。应该在客户端 PC 上配置什么以确保最佳 DNS 解析?目前有人将 AD 的 IP 地址配置为主 DNS,将公共 DNS 配置为辅助(不是谷歌的,而是提供商的 DNS)。
尽管在大多数用例中它似乎运行良好,但我认为这不是一个好的做法,而且我已经看到了 2 个问题:
1) 有一次在 PC 上未应用 GPO。可能 pc 试图解析 SRV 记录,无论出于何种原因,DNS 请求可能已发送到辅助 DNS 服务器。辅助 DNS 服务器当然无法回答。我没有证据证明这是问题,但我怀疑它。客户端是 Windows 7,服务器是 Windows Server 2012。
2) 还有一次,用户创建了一张票,导致他无法登录 LAN 应用程序(终端服务器)。该错误消息与 DNS 解析错误有关。nslookup 或 ping 提供了很好的 DNS 解析。在 ipconfig/flushdns 之后,用户能够连接到终端服务器。结论:问题的原因可能是一个否定的 DNS 答案,该答案已被缓存在 PC 上。
只填写一个主DNS有一个很大的缺点,如果AD有问题,用户完全被阻止无法上网,访问电子邮件,..
已为另一组用户实施的解决方案是部署一个小型 DNS 服务器 (dnsmasq),其中包含一些规则,将所有 AD 域仅转发到 AD 服务器,其余(公共 DNS)转发到 AD + 其他作为辅助。通过这种设置,用户可以在 AD 出现问题的情况下继续冲浪,并且所有 AD(本地查询)仅发送到 AD DNS 服务器。
在 AD 服务器本身上,最佳实践是什么?默认情况下,Windows Server 将其主 DNS 配置为 127.0.0.1。我们可以设置辅助(公共/ISP DNS)吗?
所以我在寻找什么是最佳实践,我希望阅读您的反馈,因为我可能不是唯一一个遇到这种情况的人。复制 AD 当然会更好,但它的成本并非每个客户都愿意支付。
这里只有一个最佳实践解决方案:您需要一个安装了 Active Directory DNS 服务的附加域控制器。然后,您应该在 DNS 中配置一个转发器以使用您首选的提供商。
然后,您就拥有 Active Directory 和 DNS 的完全冗余。
然后,您应该配置您的客户端(理想情况下通过 DHCP)使用一个作为主要的,一个作为次要的。
| 归档时间: |
|
| 查看次数: |
5246 次 |
| 最近记录: |