Назад | Перейти на главную страницу

Следует ли мне вручную управлять записями SRV для моего контроллера домена Windows Server?

У меня есть домен Microsoft AD с несколькими географическими сайтами. Все сайты связаны между собой VPN. На всех сайтах есть 2 контроллера домена под управлением Windows Server 2012 R2.

Я просматривал автоматизированные _ldap и _kerberos SRV записи для каждого сайта в диспетчере DNS, и многие (большинство?) записей не имеют смысла.

На нескольких сайтах были записи только о внешних контроллерах домена.

На многих сайтах была одна запись для первичного локального контроллера домена (что хорошо), но вместо того, чтобы иметь вторичный локальный контроллер домена в качестве другой записи, он имел внешний контроллер домена в качестве равновзвешенной записи.

Многие сайты с внешними контроллерами домена имели, казалось бы, случайные внешние контроллеры домена. В большинстве случаев это были наиболее удаленные географически контроллеры домена, что обычно означает более высокие пинги и меньшую пропускную способность.

Для ясности: соответствующие контроллеры домена правильно сопоставлены с соответствующими географическими сайтами в диспетчере доменных сайтов и служб.

Мне кажется, что мне лучше самому управлять этими записями. В идеале я бы настроил SRV такие записи для каждого сайта:

Primary On-site DC - weight 0
Secondary On-site DC - weight 0
Primary Off-site DC, geographically close - weight 1
Secondary Off-site DC, geographically close - weight 1
Primary Off-site DC, geographically far - weight 2
Secondary Off-site DC, geographically far - weight 2

Поэтому для этого мне нужно изменить все эти SRV записи в статику, а потом управлять всем сам вручную.

Помимо утомительного характера этой задачи и возможности внесения человеческой ошибки в эти важные записи, есть ли веская причина, по которой я должен не пересматривать эти SRV записи вручную?

В качестве альтернативы, есть ли способ более разумно создавать автоматические SRV записи?

Тангенциально связанный вопрос: когда возитесь с созданием статических SRV записи, я заметил странное поведение. Обычно автоматически созданные записи DNS получают отметку времени, тогда как записи, которые я создаю вручную, получают отметку времени. <static> метка. Однако часто запись, которую я создаю, получает просто пустую метку (т.е. null). Но если я проверю дополнительные свойства записи, у нее нет Delete this record when it becomes stale вариант проверил, так что вроде статично?

Есть много записей для разных услуг и разных типов клиентов. Некоторые из этих записей ЯВЛЯЮТСЯ зависит от сайта и будет использоваться клиентами, которые ЯВЛЯЮТСЯ сайт осведомлен. Пример: _ldap._tcp.SiteName._sites.DnsDomainName.

Некоторые из них НЕ зависит от сайта и будет использоваться клиентами, которые НЕ сайт осведомлен. Пример: _ldap._tcp.dc._msdcs.DnsDomainName.

Также существует запись для держателя PDC FSMO, которая начинается с _ldap но поскольку существует только один PDC, каждый клиент на каждом сайте может использовать PDC только в том случае, если эта служба требуется. Пример: _ldap._tcp.pdc._msdcs.DnsDomainName.