Я только что столкнулся с несколькими часами работы, пытаясь распутать проблемы с DNS в моем домене после того, как понизил статус DC / DNS-сервера (показано здесь WinXP использует старый IP-адрес DNS-сервера, хотя он был изменен в DHCP и на коробке ).
Есть дурацкая групповая политика (не знаю почему, но я оставлю ее), которая заставляла DNS-серверы; изменил его, однако клиенты не могут получить доступ к домену (поскольку основной DNS не работает - почему, черт возьми, окна не попробуют второй, который работает нормально?!?!?) ... Итак, как я могу заставить либо переопределение групповой политики (чтобы рабочие столы могли снова найти домен) или каким-то образом вернуть групповую политику на свои компьютеры? Тьфу ...
Я вижу, что у нас есть IP-адреса обоих DNS-серверов, а затем двух DNS-серверов нашего интернет-провайдера.
Вопрос в том, следует ли в среде, где DHCP обрабатывает выдачу записей DNS, переопределить это с помощью DNS из групповой политики? Хотя он меня обжег здесь после того, как хорошо задокументировал это, в будущем не должно быть проблем - но мне остается только гадать, должна ли политика остаться или уйти? Имеют ли значение два IP-адреса DNS-серверов ISP (DNS-серверы на каждом DC настроены на пересылку на эти IP-адреса в любом случае)? Потребуются ли они когда-нибудь клиентам?
Лучшие практики = нет, не применять через GPO.
DHCP будет перенаправлять запросы на несколько DNS-серверов по вашему выбору. Затем DNS пересылает запросы.
Использование GPO для определения DNS-серверов обычно используется, если вы хотите применить особые настройки к определенным рабочим станциям (в зависимости от области действия GPO, принадлежности компьютера / пользователя). Машина для тестирования интрасети. Еще лучший пример - блокировка пользователей из Интернета. Если пользователь является членом группы безопасности Deny_Internet, и вы определяете это как область для объекта групповой политики Set_Bogus_DNS, то пользователи, которые являются членами этой группы, не смогут выходить в Интернет, потому что они не смогут разрешать какие-либо адреса .
Недостатком определения внешних DNS-серверов является то, что в случае серьезной вспышки вируса / червя у вас нет возможности заблокировать домены-нарушители. Если DHCP указывает вашим машинам на внутренние DNS-серверы, при необходимости вы можете заблокировать www.malware-spreading-site.org, создав первичную зону DNS в своих собственных DNS-ящиках и указав www на 127.0.0.1.
Таким образом, указывать внутренние машины на внешний DNS - это плохо. Плохо, плохо, плохо. Непослушный. Во-вторых, в этом случае лучше использовать DHCP, чем GPO.
Как вы уже обнаружили, использование групповых политик для назначения DNS обычно является плохой идеей. Слишком много может пойти не так, и отладка может стать кошмаром. В обычных обстоятельствах в этом не должно быть необходимости. Если это необходимо, возможно, пришло время внимательно изучить всю конфигурацию сети, чтобы определить, почему это необходимо, и посмотреть, может ли быть более целесообразным внести изменения в другом месте.
В вашем посте вижу два реальных вопроса:
Назначение внешних DNS-серверов клиентам домена - плохая идея?
Да. Это.
DNS абсолютно важен для правильного функционирования Active Directory, и клиенты, отправляющие DNS-запросы на внешние серверы, рано или поздно вызовут проблемы. Это может помочь, если ваш внутренний DNS нестабилен, но в этом случае у вас есть более серьезные проблемы, чем у пользователей, которые не могут просматривать веб-страницы.
В лучшем случае это следует использовать в качестве временной повязки при исправлении вашего внутреннего DNS. И никогда не следует оставлять бинты на дольше, чем это необходимо.
Определение DNS-серверов через GPO - плохая идея?
Нет, я действительно рекомендую это.
Есть много причин, по которым определение DNS-серверов через GPO может быть очень хорошей идеей:
В простой среде это может быть больше проблем, чем того стоит. Но если у вас есть домен, вы, вероятно, уже за пределами этого пункта.
Я даю вам простую вескую причину также использовать GPO для определения настроек DNS. В среде с несколькими и динамическими серверами все серверы имеют статические IP-настройки. GPO перезаписывают их, DHCP - нет.