Em um ambiente de 2 DC, os dois DCs devem hospedar as zonas primárias integradas do AD para garantir a redundância do DNS?

Navegue suas respostas
2

Estou tentando esclarecer a relação entre os registros SOA e o DNS com base em AD, pois estamos mudando para um cenário de DNS totalmente integrado ao AD em nosso ambiente.

Temos 2 DCs executando o Win 2008. O objetivo é garantir a redundância do DNS e fornecer às máquinas clientes do domínio a capacidade de atualizar seus registros diretamente em qualquer servidor disponível se um deles ficar inoperante ... ou ambos, se estiverem disponíveis .

  1. Os dois DCs devem hospedar essas zonas integradas primárias? Ou deve-se hospedar uma versão primária integrada e outra secundária (e, portanto, integrada)?

  2. Como isso funciona com registros de SOA? Se você tiver duas zonas integradas primárias, isso não implica a possibilidade de dois registros SOA, já que ambas as zonas são diretamente atualizáveis? Você pode ter mais de um registro SOA por domínio?

  3. Ou você pode ter apenas um registro SOA correspondente ao DC que hospedou a zona primária integrada primeiro, independentemente de o outro DC ter uma zona primária ou secundária do mesmo domínio?

Qual é a melhor configuração para tal situação? O que você faria?

Obrigado antecipadamente.

    
por Bourne 28.06.2011 / 20:51

4 respostas

9

Com zonas integradas ao AD, não há conceito de zonas "primárias" ou "secundárias"; uma zona integrada é replicada para todos os DCs no domínio (*), e todos eles são autoritativos para ela e podem modificá-la, seja por intervenção do administrador ou por atualizações dinâmicas de computadores de domínio; sempre que a zona é modificada, o processo de replicação do AD cuida da sincronização das alterações entre todos os DCs envolvidos.

Isso, é claro, implica que todos os DCs que também são servidores DNS obtenham um registro SOA para zonas integradas ao AD; e isso está perfeitamente bem, já que todos eles são servidores DNS autoritativos para essa zona.

E, de fato, é considerada a melhor prática para usar zonas DNS integradas ao AD, fazer com que todos os seus servidores DNS DC (ou a maioria deles) repliquem zonas para todos eles e ter todos os computadores de domínio usam dois ou mais deles como seus servidores DNS. O DNS é crítico para a operação adequada do AD, então esse é um serviço que você definitivamente não deseja falhar.

(*) Esse é o comportamento usual, mas pode ser alterado dependendo do escopo de replicação da zona.

    
por 28.06.2011 / 21:38
4

Se as zonas estão integradas, elas não são nem primárias nem secundárias no sentido tradicional. Você pode considerar os dois servidores como primários para as zonas integradas e, como tal, cada um deles será listado como SOA em suas cópias das zonas integradas. Como as zonas estão integradas, não há um arquivo de zona local em cada servidor para cada zona, as zonas são armazenadas na partição de domínio do banco de dados do AD em cada servidor. Os registros DNS podem ser criados, atualizados, atualizados ou excluídos de qualquer servidor que contenha uma cópia das zonas integradas e essas alterações serão replicadas para todos os outros servidores que tenham uma cópia das zonas por meio do processo normal de replicação do AD.

    
por 28.06.2011 / 21:10
2

1) Você deve ter mais de uma cópia de suas zonas ADI, é uma prática recomendada ter pelo menos dois DCs executando zonas integradas. Não há necessidade de uma zona secundária.

2) Cada servidor DNS terá um registro SOA para si mesmo. Funciona bem.

3) Veja # 2

    
por 28.06.2011 / 21:10
1

As noções de servidores DNS de conteúdo" primário "e" secundário "simplesmente não se aplicam ao tipo de replicação de banco de dados DNS que ocorre com zonas integradas ao Active Directory. Os registros de recursos SOA não são a preocupação que nem tão importante quanto você pensa que eles sejam. Quatro dos campos dos registros de recursos SOA não têm nenhum significado para a replicação do banco de dados DNS do Active Directory. E a variância do campo MNAME está perfeitamente bem em configurações multi-master.

    
por 29.06.2011 / 13:59

Tags

Encontre usuários atualmente logados usando o ldap? onde está o banco de dados postgres armazenado no disco rígido