Active Directory - указать DNS-серверы интернет-провайдеров в качестве серверов пересылки?
Задний план: У меня относительно небольшой домен Active Directory (функциональный уровень Windows 2003) с двумя контроллерами домена, на обоих запущены DNS-серверы. Они являются первичным и вторичным DNS-серверами для локальной сети. Никакого другого локального DNS. У меня нет субдоменов или рекурсии.
Мой вопрос: В диспетчере DNS в разделе «Свойства сервера» перейдите на вкладку «Серверы пересылки». Какие DNS-серверы моего интернет-провайдера должны быть перечислены здесь (или Google)? Или я должен оставить вкладку Forwarders пустой и полагаться на серверы Root Hints?
Я погуглил перед публикацией. Примерно в половине советов, которые я прочитал, говорилось об использовании DNS провайдера в качестве серверов пересылки, а в половине - просто использовать Root Hints. Итак, я понятия не имею, что лучше всего подходит для моей установки (что, как мне кажется, довольно типично для небольшого магазина).
По своему опыту я пришел к выводу, что хорошо (и не мешает иметь больше двух) использовать набор DNS-переадресации с большим именем (Google, Microsoft, Verizon) и ваших местных интернет-провайдеров. в сочетании. Причина, по которой мне нравится этот подход, заключается в том, что у местных интернет-провайдеров обычно нет инфраструктуры или рабочей силы, которые есть у более крупных названных компаний; Это означает, что если они выйдут из строя, я хочу иметь возможность полагаться на другой набор серверов пересылки DNS, и наоборот. Если по неизвестной причине DNS-серверы Google или Verizon не работают, тогда мой местный провайдер может взять на себя управление и работать.
Кроме того, у меня были проблемы с местными интернет-провайдерами и их временем кэширования; они действительно различаются в зависимости от региона, но Google и Verizon всегда предлагали лучшие обновления TTL для меня и моих клиентов. Само по себе «передовой практики» не существует, просто разные подходы, как я описал.
Если у вас нет причин для прямой рекурсии из корня, я бы рекомендовал использовать пересылку; У Google или вашего интернет-провайдера гораздо больше шансов иметь что-то в кеше для запроса, поэтому это обеспечит лучшую производительность для разрешения имен в вашей сети.
Что касается Google и ISP, есть две причины, по которым вы можете захотеть использовать Google вместо вашего ISP:
- Производительность. Системы Google кастомизированы и делают кое-что интересное с кешем; проверьте, быстрее ли они вашего интернет-провайдера.
- Плохо себя ведет провайдер. Некоторые интернет-провайдеры возятся с запросами, занимаясь грязными вещами, такими как захват NXDomain.
Что «лучше», зависит от вашей ситуации. Человек, который находится в дочернем домене, может захотеть настроить своих серверов пересылки на DNS-серверы своего родительского домена.
Или вы можете настроить свои серверы пересылки на набор DNS-серверов, которые являются полномочными для определенного домена, который является внутренним для вашей организации.
Или у вас может не быть доступа в Интернет, и корневые ссылки вам не помогут.
Или вы можете предпочесть конкретный сервер пересылки корневым подсказкам по соображениям производительности.
Или, если вас не волнует ни одно из вышеперечисленных, то корневые ссылки работают нормально.
Я поддерживаю подход, предусматривающий наличие сервера имен «с большим именем» вместе с вашим местным интернет-провайдером в качестве серверов пересылки для обеспечения надежности. Но, учитывая производительность, я думаю, что лучше всего протестировать с помощью такого инструмента, как GRC. Тест DNS и используйте серверы, которые работают лучше всего!
Одна вещь, о которой не упоминалось ни в одном из других ответов, и самая важная причина, по которой вы делать вы хотите использовать DNS вашего поставщика услуг Интернета в качестве основных серверов пересылки DNS, поскольку DNS вашего поставщика услуг Интернета предоставляет вам доступ к локальным сетям доставки контента (CDN).
CDN кэширует интернет-данные и использует мастер DNS, чтобы сначала указать IP-адреса на CDN. Это означает, что видео YouTube или Netflix, которое вы смотрите, кэшируется на серверах в CDN. Сеть CDN расположена географически близко к вам, так что вы транслируете видео с сервера в нескольких милях от вас, а не в нескольких тысячах миль. Это уменьшает задержку и сокращает время загрузки.
Например, если ваш офис расположен в Колорадо-Спрингс, ваш интернет-провайдер будет перенаправлять на CDN в Колорадо-Спрингс и Денвере. Ближайший DNS-сервер Google находится в Айове и не знает, где находится ваш офис или где находится ближайший CDN. Это означает, что использование Google DNS будет отправлять ваши запросы на просмотр через CDN Google или напрямую на авторитетный хост, увеличивая задержку и замедляя скорость загрузки.
Я рекомендую установить DNS вашего провайдера в качестве основных серверов пересылки DNS, но на всякий случай всегда включайте резервный сервер пересылки на общедоступный DNS-сервер. Единственное исключение из этого - если DNS-серверы интернет-провайдера ненадежны, что вы можете проверить с помощью GRC DNS Benchmark, как упомянул Балауро в своем ответе.
Существуют различные платные службы DNS (например, OpenDNS), которые предлагают свои собственные CDN и имеют гораздо лучший географический охват, чем бесплатный DNS от Google.