У меня есть два контроллера домена в моем домене в удаленных офисах (Европа и Китай) и два контроллера домена в США, всего 4. Несколько недель назад у нас произошел сбой сети в нашем офисе в США, и за это время в офисе в Европе и Китае возникли проблемы с неработающей DNS. Я считаю, что частично проблема заключается в том, что на китайском сервере не были настроены IP-адреса пересылки, а на европейском сервере это было, но это было для нашего местного интернет-провайдера в США.
Я хочу поиграть с внесением некоторых изменений в IP-адреса DNS-серверов пересылки на этих серверах, но я не уверен, как проверить, устраняют ли мои изменения проблему. Я хотел бы избежать отключения этих удаленных контроллеров домена от наших основных DNS-серверов здесь, в США. Поскольку сейчас все работает и работает нормально, если я выполняю nslookup на веб-сайте или посещаю веб-сайт в браузере, он будет просто использовать наши основные DNS-серверы - как я могу конкретно проверить, работают ли IP-адреса пересылки DNS?
Заранее спасибо, дайте мне знать, могу ли я дать больше информации или уточнить что-нибудь
Без повторения инцидента вы не сможете его устранить - невозможно узнать, что пошло не так с вашим DNS-трафиком, если вы не заставите это повториться снова.
Учитывая ваше описание проблемы, мои деньги, как вы догадались, идут на «Неправильный или отсутствующий экспедитор».
Если, как вы описываете, ваши европейские серверы указывают на сервер в США в качестве пересылки, есть несколько неоптимальных результатов:
Это как минимум две поездки через океан - не очень хорошо. И если американский сервер имен уйдет, Европе не у кого спросить.
Для достижения наилучших результатов каждый региональный сервер имен должен иметь все ваши внутренние зоны и быть настроен с помощью ближайшего сервера пересылки, если ему нужно запросить запись у кого-то еще.
Это позволяет вам использовать кеши у вашего вышестоящего провайдера, и если ваш домен сломается, вы все равно сможете разрешать внешние DNS-имена.
Как можно это проверить? В Unix мы использовали бы dig инструмент (dig +trace).
Насколько я знаю, этого нет в Windows, но доступны его реализации (Google dig for windows для дополнительных опций).
В +trace показывает, какие серверы были опрошены в процессе получения ответа.
В некоторых случаях я предлагаю использовать альтернативный сервер пересылки (или корневые серверы напрямую) - если у вас есть интернет-провайдер, который перехватывает DNS-запросы и не возвращает должным образом NXDOMAIN для несуществующих доменных имен вы не должны использовать их DNS-серверы.
Если у вас есть такой провайдер, настройте альтернативный сервер пересылки (например, Google Public DNS) или используйте корневые ссылки и следите за тем, чтобы ваши данные подсказок были актуальными.
Так много чего можно сказать.
Зачем использовать серверы пересылки для внешнего разрешения DNS? Вы вводите точку отказа и представляете, возможно, нестабильные результаты от любых выбранных вами форвардеров. Зачем полагаться на какого-то внешнего провайдера, который предоставит вам внешнее разрешение DNS? Вместо этого используйте корневые серверы подсказок.
Если вы хотите проверить функциональность сервера пересылки, запросите его напрямую с помощью nslookup.
Ваше заявление «Я бы не хотел отключать эти удаленные контроллеры домена от наших основных DNS-серверов здесь, в США» не имеет никакого смысла. Что значит «отключиться»?
Если DNS-сервер Windows не настроен для использования серверов пересылки, по умолчанию он будет использовать корневые серверы подсказок.
Когда вы столкнулись с проблемой, какие у вас проблемы с DNS? Это был сбой внутреннего или внешнего разрешения DNS?