Frage Wie sollte die Reihenfolge der DNS-Server für einen AD Domain Controller aussehen und warum?


Das ist ein Kanonische Frage über Active Directory-DNS-Einstellungen.

Verbunden:

Angenommen, eine Umgebung mit mehreren Domänencontrollern (davon ausgehend, dass sie alle DNS ausführen):

  • In welcher Reihenfolge sollten die DNS-Server in den Netzwerkadaptern für jeden Domänencontroller aufgeführt sein?
  • Soll 127.0.0.1 als primärer DNS-Server für jeden Domänencontroller verwendet werden?
  • Macht es einen Unterschied, wenn ja welche Versionen betroffen sind und wie?

37
2018-06-01 17:14


Ursprung




Antworten:


Gemäß dieser Link und der Windows Server 2008 R2 Best Practices Analyzer sollte die Loopback-Adresse in der Liste enthalten sein noch nie als der primäre DNS-Server. In bestimmten Situationen, z. B. bei einer Topologieänderung, kann dies die Replikation unterbrechen und dazu führen, dass sich ein Server in Bezug auf die Replikation "auf einer Insel" befindet.

Angenommen, Sie haben zwei Server: DC01 (10.1.1.1) und DC02 (10.1.1.2), die beide Domänencontroller in derselben Domäne sind und beide Kopien der ADI-Zonen für diese Domäne enthalten. Sie sollten wie folgt konfiguriert werden:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1

32
2018-06-01 17:14



Was ist mit einer Umgebung mit einem Domänencontroller und einem DNS-Server mit einer ADI-Zone? Sollte der DC immer noch als primär für den sekundären konfiguriert werden? - George
@ George Ich folge nicht, was Sie fragen. Fragen Sie nach einer Umgebung mit nur einem Domänencontroller? - MDMarra
Ja das ist richtig. Entschuldigung, ich dachte darüber nach, dies hinzuzufügen, dachte aber, es könnte die Frage ausräumen. (Außerdem weiß ich, dass eine einzelne DC-Umgebung keine "ideale Konfiguration" ist) - George
In einer einzelnen DC-Umgebung sollten Sie den DC nur mit nichts als sekundär verwenden. Dies reduziert Replikationsprobleme, aber wenn Sie nur einen Domänencontroller haben, gibt es keine Replikation. Aber, ja ... tu das nicht. Habe zwei DCs. - MDMarra
Ja. Nicht sozusagen eine "großartige" Umgebung. Aber wie Sie vielleicht von meiner anderen Frage, die Sie beantwortet haben, gesehen haben, ist die Expansion auf dem Weg, neue AD-Domänen und Zeit, um die Dinge richtig zu machen böses Lachen. Vielen Dank. - George


Von http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Wenn die Loopback-IP-Adresse der erste Eintrag in der DNS-Liste ist   Server kann Active Directory seine Replikation möglicherweise nicht finden   Partner.

Die Aufnahme einer eigenen IP-Adresse in die Liste der DNS-Server   verbessert die Leistung und erhöht die Verfügbarkeit von DNS-Servern.   Wenn der DNS-Server jedoch auch ein Domänencontroller ist und er darauf hinweist   nur zu sich selbst, oder zeigt sich zuerst für die Namensauflösung, dies   kann beim Start zu einer Verzögerung führen. Aus diesem Grund sei vorsichtig, wenn   Konfigurieren der Loopback - Adresse auf einem Adapter, wenn der Server auch ein   Domänencontroller. Die Loopback-Adresse sollte nur als a konfiguriert werden   sekundärer oder tertiärer DNS-Server auf einem Domänencontroller.

Ich möchte diesen Ausschnitt auch aus dem Buch herausgeben Windows Server 2008 R2 entfesselt:

enter image description here

Auch wenn Sie nie von dem "Insel" -Problem betroffen sind, wird Ihr DC trotzdem neu gestartet viel schneller und mit weniger Fehlern, wenn es einen anderen bereits laufenden DC als primären DNS-Resolver verwendet.


15
2017-07-25 14:32



Woah, das Inselproblem ist behoben? MS-Dokumentation für 2008 R2 verwendet, um es zu verweisen und jetzt ist es magisch verschwunden (ich hatte Block zitiert in einem Dokument für einen Kunden, damit ich weiß, dass ich nicht verrückt bin!) - MDMarra
Nun, ich würde sagen, dass sie es größtenteils gemildert haben, aber wie dieser Artikel zeigt, scheint es immer noch möglich, sich in eine schlechte Lage zu bringen, wenn Sie ganz besondere Umstände haben: support.microsoft.com/kb/2001093  Am Ende des Tages wirst du es tun wahrscheinlich in Ordnung mit 127.0.0.1 als primärer DNS auf Ihren modernen DCs in einer Multi-DC-Domäne. Ich habe persönlich sehr große Domänen gesehen, die sauber funktionierten, obwohl sie alle ihre Domänencontroller mit 127.0.0.1 als primären DNS eingerichtet hatten. Aber es ist immer noch nicht die beste Praxis. Mach einfach, was dein BPA sagt, Leute. ;) - Ryan Ries


Niemals sollte sich ein DC selbst als primärer DNS verwenden.

Jede Art von Chaos kann (und Murphy diktiert: wird passieren) passieren, wenn die AD-Dienste online werden, bevor der DNS-Dienst nach einem Neustart aktiv ist. (Oder DNS stürzt ab, wird DOSed, was auch immer.)
Es gibt auch eine Interaktion zwischen DHCP (mit dynamischen DNS-Updates) und DNS, die stark davon abhängt, dass DNS ordnungsgemäß funktioniert.

Setzen Sie immer 127.0.0.1 zuletzt. Außerdem: Versuchen Sie nicht, die echte LAN-IP-Adresse des Servers zu verwenden.
Dynamische DNS-Updates von DHCP reagieren sehr empfindlich darauf.
(127.0.0.1 ist immer vorhanden und kann schneller abgerufen werden. Die reale IP-Adresse ist möglicherweise nicht immer verfügbar / beschäftigt. In einigen Szenarien können die dynamischen DNS-Aktualisierungen tatsächlich den LAN-Adapter DOS, wenn eine hohe Anzahl gleichzeitiger DHCP-Anfragen kombiniert wird mit untergeordneten NIC / Treibern.)


4
2018-06-02 22:51



Während Sie mit fast allem Recht haben und es gibt eine Million Gründe, mehr als einen DC zu haben, gehört das nicht dazu. Diese Konfiguration verhindert Replikationsprobleme. Wenn Sie nicht replizieren müssen, müssen Sie sich keine Gedanken über die Vermeidung von Replikationsproblemen machen. - MDMarra
@MDMarra: Sie haben Recht bezüglich der Replikation / DNS-Interaktion ... Aber die ursprüngliche Frage war eine allgemeine Frage und nicht replikationsspezifisch. Ich habe mehr über DHCP-DNS-Probleme nachgedacht. In der Regel bietet mindestens einer der DCs auch DHCP mit dynamischen DNS-Updates. Wenn der DNS nicht richtig konfiguriert ist, kann es zu seltsamen Situationen kommen. Ich werde meine Antwort aktualisieren, um das zu klären. - Tonny
Es ist ein Sicherheitsproblem, wenn DHCP auf einem Domänencontroller bereitgestellt wird. wenn es überhaupt möglich ist, sollte es nicht sein. - MDMarra
"Setzen Sie immer 127.0.0.1 zuletzt" Können Sie näher auf die Gründe dafür eingehen? - Bigbio2002