Я настраиваю несколько дочерних доменов в существующем лесу Active Directory и ищу некоторые общепринятые рекомендации / рекомендации по настройке как параметров DNS-клиента на контроллерах дочернего домена, так и для области репликации зоны DNS.
Предполагая один контроллер домена в каждом домене и предполагая, что каждый DC также является DNS-сервером для домена (для простоты), если дочерний контроллер домена указывает на себя только для DNS или должен указывать на некоторую комбинацию (первичный VS. вторичный) самого себя и DNS-сервер в родительском или корневом домене? Если существует иерархия родительских> дочерних> дочерних доменов (с непрерывным пространством имен DNS), как следует настроить DNS на внучатом контроллере домена?
Что касается области репликации зоны DNS, при хранении зоны DNS каждого домена на всех DNS-серверах в домене я предполагаю, что делегирование DNS от родительского элемента к дочернему должно существовать, и что должен существовать перенаправитель от дочернего к родительскому . При иерархии доменов родительский> дочерний> внучатый, тогда каждый дочерний элемент перенаправляет прямому родительскому элементу для прямой родительской зоны или в корневую зону? Делегирование происходит в прямой родительской зоне или из корневой зоны?
Если все DNS-зоны хранятся на всех DNS-серверах в лесу, делает ли это спорными вышеупомянутые вопросы относительно области репликации? Влияет ли область репликации на настройки DNS-клиента на каждом DC?
Я бы предпочел использовать один домен с двумя вашими серверами для резервирования, чем использовать два отдельных домена на одном сервере (точка отказа). Что побуждает вас выбрать лес родительского / дочернего домена? Вы можете просто использовать пространство DNS для дочернего домена, поскольку вы сказали, что оно непрерывно, не требуя домена AD, если у вас нет проблем с границами безопасности.
Против моего лучшего суждения, Я отвечу на вопрос, если у вас есть два сервера для каждый домен (всего четыре) - просто вычтите два сервера для вашего случая.
Если вы хотите, чтобы DNS оставался локальным по отношению к домену, родительские контроллеры домена указывают друг на друга, а дочерние контроллеры домена также указывают друг на друга. Более простой настройкой было бы использование области, которая реплицирует зону DNS на уровне леса.
У вас есть parent.local (или что-то еще) в качестве вашего верхнего уровня и child.parent.local в качестве поддомена.
AD будет реплицировать оба домена по всему лесу, упрощая разрешение DNS. Вы увидите наложение на данном DNS-сервере с зонами, но Windows имеет дело с этим.
Другой вариант - не выполнять репликацию в масштабе леса, и в этом случае я просто настрою пересылку на дочерних контроллерах домена, чтобы отправлять все до DNS родительских контроллеров домена, но на родительском вам нужно будет создать делегирование для дочернего поддомена обратно. вниз.
Честно говоря, чтобы дать ответ «лучшие практики из реального мира», я думаю, вам нужно добавить еще одну информацию. Где будут физически расположены все контроллеры dcs / DNS? Если дочерние элементы находятся на разных физических сайтах, вы хотите, чтобы у каждого был собственный дочерний домен, хранящийся локально, а не в лесу. Лучшая практика требует пустого леса. DNS-серверы всегда должны сначала указывать на себя, а затем использовать пересылку t, указывающую на своего родителя (или на лес). Простой способ обойти проблему медленной загрузки - добавить себя в файл локальных хостов (хотя я, кажется, также помню исправление reg для этого).