Назад | Перейти на главную страницу

Как правильно настроить DNS-серверы пересылки на Windows Server

Мне было интересно, как правильно настроить DNS-серверы пересылки на Windows Server 2008 R2. У меня три контроллера домена. У каждого DC есть следующее:

  1. Роль AD
  2. Роль DNS
  3. Роль DHCP
  4. Статический IP-адрес
  5. Windows Server 2008 R2 с пакетом обновления 1 (SP1)
  6. 64 бит

В разделе DNS Forwarders я заметил, что на каждом контроллере домена указан только один, а не оба. Вот картинка:

Правильно ли иметь в списке только один DC, или я должен указать и другой DC?

У вас не должно быть причин для перенаправления на другие серверы AD, поскольку DNS уже должен реплицироваться между ними.

Единственная причина, по которой я могу это придумать, - это если вы хотите, чтобы только один DNS-сервер запрашивал в Интернете неавторизованные FQDN.

Обычно серверы пересылки (используемые для разрешения неавторизованных поисков) устанавливаются на внешние DNS-серверы, такие как ваш интернет-провайдер, или общий общедоступный преобразователь, например 8.8.8.8, или просто используют серверы корневых подсказок.

Но с условной пересылкой все по-другому ...

Не зная, как настроена ваша среда и каковы ваши цели, я рискну предположить, что вам не следует иметь ваши DC / DNS-серверы, использующие какие-либо другие DC / DNS-серверы в качестве пересылки.

Единственный сценарий, в котором я видел внутренние DNS-серверы, использующие другие внутренние DNS-серверы в качестве пересылки, - это когда политика безопасности ограничивает исходящий DNS-трафик до нескольких защищенных DNS-серверов. Все остальные DNS-серверы пересылают неавторизованные запросы этим защищенным DNS-серверам. Я предполагаю, что в вашем сценарии это не так.

Если это правда, удалите контроллеры домена со вкладки серверов пересылки и используйте корневые ссылки или добавьте серверы пересылки на внешние DNS-серверы (8.8.8.8 и т. Д.) Для неавторитарных запросов.

Возможно, интегрированный DNS AD не настроен для этой зоны.

Обычной практикой является включение AD Integrated DNS и отключение пересылки.