У меня есть установка только с одним Active Directory (без избыточности). Что нужно настроить на клиентском компьютере, чтобы обеспечить наилучшее разрешение DNS? В настоящее время кто-то настроил IP-адрес AD как первичный DNS и публичный DNS как вторичный (не Google, а DNS провайдера).
Хотя кажется, что в большинстве случаев он работает нормально, я не думаю, что это хорошая практика, и я уже видел 2 проблемы:
1) Один раз GPO не применялся на ПК. Вероятно, компьютер пытался разрешить запись SRV, и по какой-либо причине DNS-запрос, вероятно, был отправлен на вторичный DNS-сервер. Вторичный DNS-сервер, конечно, не может ответить. У меня нет доказательств, что это была проблема, но я подозреваю. Клиенты - Windows 7, а сервер - Windows Server 2012.
2) В другой раз пользователь создал билет, потому что он не смог войти в приложение LAN (сервер терминалов). Сообщение об ошибке было связано с ошибкой разрешения DNS. nslookup или ping хорошо дали разрешение DNS. После ipconfig / flushdns пользователь смог подключиться к серверу терминалов. Заключение: причиной проблемы, вероятно, был отрицательный ответ DNS, который был кеширован на компьютере.
Только заполнение одного первичного DNS имеет серьезный недостаток, если есть проблема с AD, пользователи полностью заблокированы, не могут просматривать Интернет, получать доступ к электронной почте и т. Д.
Решение, которое было реализовано для другой группы пользователей, заключается в развертывании небольшого DNS-сервера (dnsmasq) с некоторыми правилами для перенаправления всего домена AD только на сервер AD, а остальные (общедоступный DNS) в AD + другие в качестве вторичных. При такой настройке пользователи могут продолжить работу в Интернете в случае проблем с AD, и все AD (локальные запросы) отправляются только на сервер AD DNS.
Что лучше всего делать на самом сервере AD? По умолчанию Windows Server настраивает его основной DNS-сервер как 127.0.0.1. Можем ли мы настроить вторичный (общедоступный DNS / DNS-сервер)?
Так что я ищу лучшие практики и надеюсь прочитать ваши отзывы, потому что, вероятно, я не единственный в этой ситуации. Дублировать AD, конечно, было бы лучше, но это требует затрат, которые не каждый клиент готов платить.
Здесь есть только одно лучшее практическое решение: вы необходимость дополнительный контроллер домена с установленной службой Active Directory DNS. Затем вы должны настроить пересылку в DNS для использования того, что вам нравится.
Тогда у вас будет полное резервирование для Active Directory и DNS.
Затем вы должны настроить своих клиентов (в идеале через DHCP) на использование одного в качестве основного, а другого в качестве вторичного.
Правильно.
Насколько я понимаю, у вас есть несколько вариантов