Qual é a configuração recomendada do DNS do cliente para resolver endereços internos e externos?

2

Normalmente, quando tenho um cliente com um SBS, uso seu DNS para resolver nomes internos e, em seguida, encaminho para o DNS externo, se o DNS interno não puder resolver o endereço.

Recentemente, em um site do cliente, a empresa mãe instalou um novo roteador Cisco PIX e assumiu as funções DHCP. Eles alteraram a configuração nos clientes para usar o DNS primário para resolver nomes internos e o DNS secundário para resolver nomes externos.

Eu não achei que essa fosse a intenção das entradas de DNS Primária e Secundária, mas não sou especialista no assunto.

Qual é a configuração preferida do cliente quando há um DNS interno?

    
por Darrel Miller 08.12.2009 / 19:37

4 respostas

6

Se você deseja que as coisas funcionem com facilidade e sem problemas, faça o seguinte:

  • Execute servidores DNS do Windows somente em computadores do controlador de domínio do Active Directory. (Isso garante que eles tenham cópias de suas zonas DNS integradas ao Active Directory).

  • Certifique-se de que os servidores DNS do Windows tenham "Dicas de Raiz" especificadas (o que é o caso por padrão) ou que um "Encaminhador" seja especificado referente a um servidor DNS no seu IPS.

  • Verifique se todas as máquinas Windows (servidores e clientes) têm apenas servidores DNS do Windows especificados como seus servidores DNS. (Nenhum servidor DNS não baseado em DC deve ser especificado em qualquer configuração de servidor, cliente ou DHCP.)

  • Verifique se as regras de firewall permitem a porta UDP 53 de saída dos servidores DNS do Windows para a Internet (seja a rede inteira, se você estiver usando "Dicas de raiz" ou os servidores DNS do ISP, se estiver usando "Encaminhadores").

Esta é a configuração recomendada da Microsoft e resultará na resolução de nomes internos e da Internet sem "vazar" solicitações dinâmicas de registro de máquinas Windows para seu ISP ou outros servidores DNS externos.

Esta resposta é bastante presuntiva, mas sendo que você mencionou o SBS, é provável que esta seja uma rede bastante simplista e o acima é a maneira mais indolor de obter o que você está procurando.

Se fosse eu, BTW, usaria dicas de raiz em vez de encaminhadores. Eu não confio no meu ISP para não fazer coisas desagradáveis com DNS (responda com o seu próprio site "motor de busca" em vez de reter NXDOMAIN's para nomes de domínio inválidos, etc).

    
por 08.12.2009 / 21:05
3

A finalidade do DNS secundário é a confiabilidade, não para resolver um espaço de endereço completamente diferente. Normalmente, o DNS interno é configurado apenas para encaminhar solicitações que não podem ser resolvidas localmente. Nada complicado, é assim que o DNS deve funcionar.

Eu imagino que, nesse caso, suas consultas estão demorando um pouco mais do que o normal, já que todas as solicitações externas precisam falhar no primário antes de serem enviadas para o secundário.

    
por 08.12.2009 / 20:01
1

Suponho que você esteja falando sobre computadores com Windows aqui.

Para computadores que são membros de um domínio, somente o servidor DNS interno deve ser usado; Se a resolução de nome extral for necessária, isso deve ser feito pelo servidor DNS interno. Isso é crucial para a operação apropriada do domínio, porque os sistemas Windows usam o DNS para muitas atividades relacionadas ao Active Directory, incluindo (mas não se limitando a) a localização de controladores de domínio. Um computador membro de domínio deve nunca ser configurado para usar um servidor DNS que não tenha dados de domínio, como qualquer externo.

Se os seus computadores não são membros de um domínio, você pode usar praticamente qualquer configuração de DNS que desejar; De qualquer forma, ainda é considerado uma boa prática usar servidores DNS internos e fazer com que eles encaminhem consultas para os externos, em vez de fazer com que os clientes conversem diretamente com servidores DNS externos; isso permite o armazenamento em cache e a redução do tráfego externo.

    
por 08.12.2009 / 20:00
0

Tem mais uma peça que eu gostaria de mostrar que foi enterrada. A finalidade dos servidores DNS primário e secundário é redundância - se o serviço DNS deve parar em um, as máquinas clientes devem poder continuar trabalhando sem qualquer diferença perceptível, assumindo que os servidores DNS são idênticos, etc. É precisamente por isso que o Active Directory integra a replicação de DNS e AD nos controladores de domínio (entre outras razões, é claro). Aqui está o que eu fiz em situações semelhantes: Supondo que você tenha a capacidade e autoridade para fazer alterações nas configurações de DHCP e DNS nos servidores e no PIX, faça o seguinte:

No Pix, defina as entradas do servidor DNS atribuídas por DHCP a dois servidores DNS idênticos. Se fosse eu, eu os mandaria ser servidores Windows. Isso pode não ser possível em sua situação - esqueço o acordo com o SBS e não tenho certeza de quais são realmente suas opções de replicação. Nos servidores DNS, configure as zonas autoritativas para resolver os endereços IP internos (Aceite os padrões da Microsoft que você puder, além de seguir as práticas recomendadas) Faça com que os servidores DNS encaminhem as consultas para os servidores DNS usados para resolver os endereços externos.

Isso manterá as consultas internas internas e otimizará o desempenho. Ele irá empurrar as consultas externas para fora sem ter que esperar que o DNS1 envie para o DNS2 para resolver as consultas externas. No lado do cliente, isso redundará em redundância (ou seja, um servidor fica inativo, ele pode continuar trabalhando enquanto espera sua chegada) e a latência durante as solicitações de DNS diminuirá, aumentando a produtividade. Faça com que o cliente ganhe, seja interno ou externo à empresa.

    
por 31.05.2013 / 14:35