As zonas integradas ao Active Directory devem ser hospedadas por controladores de domínio (DCs) e todas as zonas integradas ao Active Directory são zonas primárias. Considerando isso, estamos realmente falando sobre onde colocar os controladores de domínio que atendem ao papel adicional do servidor DNS.
Determinar onde colocar os DCs / servidores DNS nem sempre é direto. No entanto, como regra geral, considero que qualquer local de filial que utilizará os serviços do Active Directory (autenticação, serviços de arquivos, etc.) se beneficia de ter um DNS local e serviços integrados ao DNS.
Você já deve saber muito sobre isso, então fique comigo ...
Ao decidir onde colocar servidores DC / DNS, lembre-se do seguinte:
-
Os membros do domínio dependem muito dos serviços DNS para localizar recursos do domínio. Por exemplo, quando um computador ingressado no domínio é inicializado, ele consulta os registros do Service Locator (SRV) do domínio no DNS para localizar um Controlador de Domínio com o qual se autenticar. Sem uma instância de DNS local, esse processo deve ocorrer em um link de site potencialmente lento. É claro que, uma vez que um computador tenha localizado um Controlador de Domínio, ele continuará a se autenticar nesse servidor até que algo force o cliente a encontrar outro DC.
-
Em um link lento, as atividades regulares de autenticação em DCs remotos, a consulta de recursos de domínio e a realização de outras pesquisas de DNS padrão podem criar uma experiência de usuário lenta e um pouco cansativa. Um servidor DC / DNS local pode melhorar muito a experiência do usuário (sou tudo sobre a experiência do usuário), eliminando atrasos.
-
Se o link entre os sites ficar inativo e não houver nenhum serviço DNS local, seus usuários não poderão navegar na Internet, a menos que você tenha configurado servidores DNS secundários. O problema que tive com os servidores DNS secundários é que cada consulta primeiro tenta entrar em contato com o servidor DNS primário antes de tentar o servidor DNS secundário. Isso realmente destrói a experiência do usuário.
Para uma pequena filial com 5 usuários e um link lento, você pode conseguir sair sem um servidor DC / DNS local, desde que:
-
Os usuários não dependem da capacidade de autenticação no domínio (se um DC remoto não estiver disponível para solicitações de autenticação de serviço, os usuários ainda poderão fazer logon nos sistemas locais usando credenciais armazenadas em cache).
-
Os servidores DNS fora do domínio estão disponíveis para atender às consultas no caso de o link do seu site ficar inativo. Alguns roteadores habilitados para DNS podem encaminhar seletivamente solicitações de domínios selecionados para servidores DNS específicos. Por exemplo, consultas DNS normais podem ser encaminhadas para servidores DNS disponíveis publicamente (como os servidores DNS fornecidos pelo seu provedor de serviços de Internet), enquanto as consultas para mydomain.local podem ser encaminhadas por um link de site seguro para o servidor DNS interno. Esse método elimina o atraso do failover de um servidor DNS primário para secundário por cliente.
Dito isto, acho que você ainda estaria melhor com um servidor DC / DNS local, mesmo que tenha apenas 5 usuários. Você examinou os Controladores de domínio somente leitura ?
Para a sua filial maior, eu recomendaria definitivamente fornecer ao site um servidor DC / DNS local.