Melhor Prática de DNS do Controlador de Domínio / Considerações Práticas para Controladores de Domínio em Domínios Filho

Navegue suas respostas
7

Estou configurando vários domínios filhos em uma floresta existente do Active Directory e estou procurando alguma orientação sobre sabedoria convencional / práticas recomendadas para configurar as configurações de cliente DNS nos controladores de domínio filho e no escopo de replicação de zona DNS. / p>

Assumindo um único controlador de domínio em cada domínio e assumindo que cada DC também é o servidor DNS do domínio (para simplificar), o controlador de domínio filho deve apontar para si somente para DNS ou apontar para alguma combinação (VS primário secundário) de si mesmo e do servidor DNS no domínio pai ou raiz? Se existe uma hierarquia de domínio pai / neto > filho > (com um espaço de nomes contíguo de DNS), como deve o DNS ser configurado no DC do neto?

Com relação ao escopo de replicação de zona DNS, se estiver armazenando a zona DNS de cada domínio em todos os servidores DNS no domínio, presumirei que uma delegação DNS do pai para o filho precisa existir e que um encaminhador do filho para o pai precisa existir. Com uma hierarquia de domínio pai e filho neto, cada filho encaminhará ao pai direto da zona pai direta ou à zona raiz? A delegação ocorre na zona pai direta ou na zona raiz?

Se você estiver armazenando todas as zonas DNS em todos os servidores DNS da floresta, isso faz as perguntas acima relacionadas ao escopo do replicação? O escopo de replicação tem alguma influência nas configurações do cliente DNS em cada DC?

    
por joeqwerty 07.11.2012 / 17:13

2 respostas

2

Eu prefiro ir com um único domínio usando seus dois servidores para redundância do que usar dois domínios separados em servidores únicos (ponto de falha). O que está motivando sua escolha para ir com uma floresta de domínio pai / filho? Você poderia simplesmente usar o espaço DNS para o domínio filho desde que você disse que é contíguo sem exigir um domínio do AD, a menos que você tenha preocupações com limites de segurança.

Contra o meu melhor julgamento , responderei a pergunta supondo que você tenha dois servidores para cada domínio (quatro no total) - basta subtrair dois dos servidores para o seu caso.

Opção 1.

Com seu desejo de manter o DNS local no domínio, os DCs pai apontam um para o outro e os DCs filhos também apontam um para o outro. A configuração mais fácil seria usar um escopo que replica a zona DNS em toda a floresta.

Você tem parent.local (ou qualquer outro) como seu nível superior e child.parent.local como o subdomínio.

O AD irá replicar os dois domínios em toda a floresta, simplificando a resolução do DNS. Você verá a sobreposição em um determinado servidor DNS com as zonas, mas o Windows lida com isso.

Opção 2.

Outra opção é não fazer replicação em toda a floresta, nesse caso eu simplesmente configuraria um encaminhador nos DCs filhos para enviar tudo para o DNS do DC pai, mas no pai você precisaria criar uma delegação para o subdomínio filho de volta para baixo.

    
por 14.11.2012 / 08:06
0

Honestamente, para fornecer uma resposta "melhores práticas do mundo real", acho que você precisa adicionar mais uma informação. Onde todos os controladores dcs / DNS serão localizados fisicamente? Se os filhos estiverem em sites físicos separados, você deseja que cada um deles tenha seu próprio domínio filho armazenado localmente e não na floresta. A melhor prática exige uma floresta vazia. Os servidores DNS devem sempre apontar primeiro para si mesmos e, em seguida, usar um encaminhador para apontar para seu pai (ou a floresta). Uma maneira fácil de resolver o problema da inicialização lenta é adicionar-se ao arquivo de hosts locais (embora eu pareça lembrar também de uma correção de registro para isso).

    
por 13.11.2012 / 06:57

Tags

apache2 - SSLSessionCache em execução, mas não está funcionando Como fazer contabilidade de rede usando cgroups