Domain Controllers como servidores DNS internos

Navegue suas respostas
4

O ambiente da nossa empresa está crescendo rapidamente e eu estou no processo de atualização de nossos controladores de domínio, mas antes disso eu quis fazer uma verificação rápida de integridade para ter certeza de que ainda estou fazendo tudo da melhor maneira possível.

Com foco no meu site principal do HQ, eu tenho 3 controladores de domínio (2 virtuais, 1 físico) todos executando o Windows Server 2008 R2. Desejo migrar para o Windows Server 2012 R2. Eu não acredito em 'atualizar' o Windows, eu sempre prefiro 'migração' para manter os servidores / ambientes limpos de artefatos de atualização.

Os dois DCs virtuais fornecem todos os serviços DNS para todas as minhas estações de trabalho e servidores membros. As estações de trabalho obtêm os endereços DNS por meio de opções de DHCP, enquanto todos os servidores membros têm os IPs do servidor DNS configurados como estáticos.

Pergunta: Ainda é normal usar seus controladores de domínio como os resolvedores de DNS para todas as suas estações de trabalho e servidores, ou devo criar novos servidores DNS dedicados?

Pergunta: É uma boa prática usar os IPs reais dos controladores de domínio em estações de trabalho e servidores para resolvedores de DNS ou devo usar IPs virtuais / balanceamento de carga?

    
por Christoph Berthoud 21.07.2014 / 01:42

3 respostas

5

Is it still normal to use your domain controllers as the DNS resolvers for all of your workstations and servers, or should I create new dedicated DNS servers?

Tenho mais de 2000 clientes na minha empresa e 4 controladores de domínio. 2 deles também estão atuando como servidor DNS sem problemas há 4 anos.

Is it good practice to use the real IPs of the domain controllers on workstations and servers for DNS resolvers or should I use virtual IPs/load balancing?

Mais uma vez, para mais de 2000 clientes, uso IP real de resolução de DNS sem problemas.

Eu forneço essas métricas como uma espécie de "referência". Dependendo do seu número de clientes, a carga de DNS pode ser maior e minha topologia não pode se aplicar a você ... Mas IMHO você pode ir com segurança com DC + DNS

Como afirmado pela Microsoft:

Most often, you will install DNS servers on all domain controllers

Mas deixo você ler o artigo completo aqui

    
por 21.07.2014 / 01:56
4

Usar seus DCs como servidores DNS é bastante razoável. Além disso, você não pode realmente escondê-los, já que muitas coisas exigem comunicação direta com eles.

A única razão pela qual você não gostaria de usá-los como seus servidores DNS é se o carregamento do DNS é muito alto e muitas consultas são para os mesmos nomes, ponto em que você gostaria de usar um resolvedor intermediário que armazena coisas em cache, ou se você quer fazer coisas sofisticadas com DNS que seriam melhor servidas por algo como BIND. Se você precisar mudar mais tarde, sempre poderá alterar suas opções de DNS e, se tiver mais de dois controladores de domínio, também poderá variar os servidores DNS em cada uma de suas sub-redes para ajudar a equilibrar a carga.

O risco de segurança de usar CDs como este é praticamente zero.

    
por 21.07.2014 / 01:53
1

Como um ponto de dados, trabalho para uma Fortune 200 no setor de Serviços Financeiros e, por cerca de um ano, atuei como o DNS Hostmaster para a empresa. Costumávamos usar a solução interna de DNS da Microsoft (e o F5 LTM para IP em qualquer parte do endereço do resolvedor e do servidor de nomes na SOA), o que funciona, mas que decidimos não ser ideal para nossos propósitos.

Pontos a seu favor

  • Gratuito como parte do Active Directory
  • Funciona bem o suficiente para uso básico
  • Registro automático de registros DNS para clientes DHCP (se os clientes forem clientes Windows; Mac, Linux e SunOS, não muito)

Razões pelas quais precisávamos de mais

  • Em um esforço para ser permissivo, ele não segue estritamente a especificação, permitindo informações incorretas ou mesmo impossíveis (incluindo CNAME na zona-ápice, para as quais havia uma RFC proposta não aprovada, mas muito, muito pior, registros com espaço em branco no nome do registro ou no valor de resposta, o que confunde o inferno de qualquer coisa baseada em BIND)
  • O mecanismo para manter os registros associados A, TXT, SRV, PTR sincronizados não foi suficiente e passamos um tempo substancial reconcurando manualmente
  • O daemon DHCP integrado exigia escopos divididos para HA, o que significa que, em uma condição de falha, metade do pool disponível é perdida, em vez do failover de DHCP padrão (e usado em soluções baseadas em ISC) ( link )
  • Não havia um mecanismo pronto para uso para visualizar facilmente o esgotamento / disponibilidade / densidade do IP com base nos registros PTR

Acabamos implementando uma solução integrada de DHCP + DNS + IPAM e não olhamos para trás (incluindo a realização de sincronização de zona dinâmica e IP Anycast).

Existe, é claro, uma ressalva: para o registro de registro SRV funcionar para o Active Directory Service Discovery e para o registro de registro e o cancelamento de registro do Windows Cluster Server funcionarem. você deve criar uma ACL que contenha todas as caixas de controladores de domínio e MS Cluster Server e permitir que elas executem atualizações de DNS dinâmicas. Para garantir a integridade e sanidade dos dados, para todos os outros hosts e todos os outros registros, você deve permitir a atualização somente por meio do daemon DHCP ou da GUI / API (em outras palavras, impedir atualizações dinâmicas de DNS e AXFR de todas as caixas não permitidas ).

    
por 27.07.2014 / 16:29

Tags

Como obter um servidor de nomes barato Como enviar 0x80 byte para uma porta tcp usando netcat ou ferramenta similar?