Problema de hora de resposta do DNS local no SBS 2008

Navegue suas respostas
3

O problema:
Os computadores cliente da LAN fazem o ping remote.mydomain.com e resolvem o endereço IP WAN estático. Ele deve resolver para o endereço IP da LAN local do nosso servidor.

Os detalhes: Temos um total de um servidor que está executando o SBS 2008 em algum hardware bastante rápido (pode descrevê-lo, se necessário). Entrei em alguns registros da zona DNS local para que os usuários possam usar o Outlook Web Access sem problemas, estejam eles na LAN ou fora da LAN. Esses registros DNS incluem remote.mydomain.com e outlook.mydomain.com. Dois domínios não são necessários, mas o último é mais fácil para os usuários lembrarem quando acessarem o OWA.

Também configurei o servidor DHCP do SBS 2008 para que os computadores clientes obtenham três endereços IP do servidor DNS da seguinte forma: 

192.168.1.10 (our SBS server)
208.67.222.222 (OpenDNS)
208.67.220.200 (OpenDNS)

O motivo de tê-lo configurado dessa forma é para que os clientes ainda possam acessar a Internet no caso raro de o servidor não estar operacional.

Eu acho que o problema é que o SBS 2008 não responde rápido o suficiente para as consultas DNS, então os clientes consultam o OpenDNS, que retorna um endereço que está correto apenas se eles estiverem fora da LAN.

FYI, estamos usando um roteador SonicWall TZ-210.

Estou procurando sugestões sobre como garantir que os computadores clientes de rede local possam acessar o OWA em nossa rede local sem desativar os endereços de servidor DNS "de backup" que configurei via DHCP.

    
por HK1 15.08.2011 / 19:52

3 respostas

3

Os endereços dos servidores DNS de "backup" não são uma boa ideia e são a raiz do seu problema. Você poderia jogar jogos com um firewall de filtragem de pacotes para tentar "contornar", mas seria melhor usar o controlador de domínio apenas como servidor DNS para seus clientes.

Em geral, você nunca deve especificar servidores DNS em clientes do Active Directory que não sejam capazes de resolver os registros DNS do domínio do AD. Você obterá um desempenho não determinístico de logons, Diretiva de Grupo e / ou raízes DFS de Domínio em casos como esse tipo de configuração. Os clientes dependem strongmente do DNS para tomar as "decisões certas": trabalhar com o Active Directory.

Especifique apenas o servidor DNS do AD para seus clientes e tudo ficará bem. Se você estiver preocupado com o DNS estar "inativo", chame um controlador de domínio secundário e instale a função Servidor DNS nele. (Ter um segundo DC é uma apólice de seguro barata, de qualquer forma, e não é uma coisa ruim de se ter. Na minha experiência, no entanto, ter o servidor DNS do SBS "inoperante" provavelmente significa que você está tendo problemas muito maiores do que os clientes. para navegar em sites da Web.)

    
por 15.08.2011 / 20:16
1

Como você está usando servidores DNS externos, além dos internos, os clientes podem decidir o ciclo de consultas DNS para todos os servidores configurados. Quando você tenta resolver mydomain.com, esses servidores DNS externos fornecem seu link WAN como uma resposta. Então, essas máquinas locais armazenam em cache a resposta.

Acho que é uma boa ideia ter servidores DNS externos apenas no caso de o servidor ficar inativo, mas, de maneira realista, se o servidor estiver inativo, você terá problemas maiores do que se todos podem ou não acessar a Internet.

    
por 15.08.2011 / 20:14
0

Do meu teste com minha caixa do Windows 7, se o servidor de nomes preferencial não retornar uma resposta em 1 segundo, ele passará para o próximo na fila. Não vai repetir o que não obteve resposta, agarrando-se ao que obteve uma resposta. Portanto, ter esse DNS dividido como está disponível só causará problemas, pois se os sistemas de LAN falharem nos servidores DNS públicos, será difícil recuperá-los para o DNS da LAN. Obter outra caixa para fazer DNS internamente, se você está realmente preocupado em ter um único ponto de falha. Isso poderia ser feito facilmente com uma caixa de linux barata rodando o BIND como um escravo.

    
por 15.08.2011 / 20:16

Tags

RHEL6 “/ etc / sysconfig / networking” está faltando, não é possível configurar nenhum dispositivo através do system-config-network É normal ter um IP de intervalo privado em um traceroute?