Сложное разрешение DNS в неподключенных сетях (Ethernet и InfiniBand)
У нас возникают проблемы с правильной работой разрешения DNS, когда каждый сервер находится в двух неподключенных сетях (Ethernet и InfiniBand).
Пример сети можно увидеть на базовой схеме сети Visio.
При использовании полного доменного имени для сервера AD сервер может вернуть пользователю 10.1.0.3, который фактически недоступен. Однако проблема возникает только у нескольких внутренних пользователей, поскольку все серверы имеют доступ к обеим сетям. Кроме того, хотя некоторые могут предложить отключить динамическое обновление на стороне IB, это предпочтительный маршрут для всего трафика сервера.
В настоящее время мы используем Windows Server 2012 R2 со встроенным DNS Active Directory. Мы бы предпочли не переходить на выделенный DNS-сервер, но, если нет доступного решения, это наш следующий шаг.
Сообщите мне, какие еще детали были бы полезны, и мы будем благодарны за любую помощь!
Пару мыслей.
Во-первых, простое решение: у вас есть две отдельные сети и два набора компьютеров, и только одна из двух сетей доступна для обоих наборов компьютеров. Следовательно, контроллеры домена Active Directory / DNS должны соответствовать наименьшему общему знаменателю.
Отключите службу DNS от адаптера Infiniband, измените порядок привязки NIC, снимите флажок «зарегистрировать это соединение в DNS», чтобы соединитель Infiniband не регистрировал автоматически запись хоста в DNS, и очистите все записи хоста, которые соответствуют IP-адрес Infiniband.
AD / DNS не требует и не извлекает выгоду из пропускной способности сети 48 Гбит / с, и это позиция, которую я, вероятно, занял бы на вашем месте, потому что я не предпочитаю вводить излишнюю сложность поддержки многосетевых контроллеров домена, даже если они технически поддерживаемый. Вы говорите, что сеть Infinband является «предпочтительным» маршрутом, но лично я предпочитаю маршрут, который работает для всех. (Зарезервируйте другую сеть для приложений, которые действительно могут извлечь выгоду из всей этой потрясающей пропускной способности ... Я уверен, что вы потратили эти деньги на Infiniband на что-то полезное, помимо аутентификации в AD действительно быстро.)
Вариант 2 (потому что я знаю, что вы не последуете моему совету в варианте 1;):
Заказ сетевой маски. На DNS-серверах Windows 2008+ порядок масок по умолчанию соответствует подсетям «класса C». Но поскольку вы используете сети 10.0 / 16 и 10.1 / 16, или сети «класса B», вы не получаете преимуществ от упорядочивания сетевых масок с вашего DNS-сервера. Попробуйте изменить этот параметр на своих DNS-серверах с помощью команды Dnscmd /Config /LocalNetPriorityNetMask 0x0000FFFF чтобы отразить вашу схему IP-адресации. (По умолчанию 0x000000FF что соответствует 255.255.255.0 или 0.0.0.255, в зависимости от того, как вы на это смотрите.)
http://blogs.technet.com/b/askpfeplat/archive/2013/02/18/3553181.aspx
http://davidtosoff.com/2012/03/15/windows-dns-netmask-ordering/
PS - Кстати, на вашем месте я бы подумал о том, чтобы использовать только IPv6 в моей сети Infiniband. Нет смысла тратить тысячи долларов на приятное новое оборудование, а затем увязать его с устаревшим сетевым протоколом 30-летней давности.