Política de Grupo para Especificar Servidores DNS no Ambiente DHCP - Bom ou Ruim?

Navegue suas respostas
1

Acabei de encontrar várias horas de trabalho tentando resolver problemas de DNS em meu domínio depois que rebaixei um servidor de DNS / DC (ilustrado aqui WinXP usando o IP do servidor DNS antigo, embora alterado no DHCP e na caixa ).

There's a stupid group policy (dunno why, but I'll leave it) that was forcing the DNS servers; changed it however the clients can't access the domain (since the primary DNS is down -- why the hell won't windows try the secondary one that is working fine?!?!?)... So how can I force either a group policy override (so that the desktops can find the domain again) or somehow get the group policy back on their computers? Ugh...

Eu vejo que temos os IPs de ambos os servidores DNS e, em seguida, dois dos servidores DNS do nosso ISP.

A questão é - em um ambiente onde o DHCP está lidando com as entradas de DNS, deve-se substituir o DNS pela política de grupo? Embora tenha me queimado aqui depois de documentá-lo bem, não deve haver um problema no futuro - mas fico me perguntando se a política deve permanecer ou desaparecer? Os dois IPs dos servidores DNS do ISP são significativos (os servidores DNS em cada DC são configurados para encaminhar para esses IPs de qualquer maneira)? Os clientes precisarão deles?

    
por Matt Rogish 30.06.2009 / 01:17

4 respostas

8

Práticas recomendadas = não, não se aplicam por meio de um GPO.

O DHCP encaminhará solicitações para um punhado de servidores DNS de sua escolha. O DNS encaminhará as solicitações.

O uso do GPO para definir servidores DNS geralmente é se você deseja aplicar configurações especiais a estações de trabalho específicas (com base no escopo do GPO, associações de usuário / máquina). Uma máquina de teste de intranet. Um exemplo ainda melhor é bloquear usuários fora da internet. Se um usuário for um membro do grupo de segurança Deny_Internet e você definir isso como um escopo para um GPO Set_Bogus_DNS, os usuários que sejam membros desse grupo não poderão navegar na Internet porque não poderão resolver nenhum endereço. .

A desvantagem dos servidores DNS externos definidores é que, no caso de uma grande epidemia de vírus / worm, você não tem como bloquear os domínios problemáticos. Com o DHCP apontando suas máquinas para os servidores DNS internos, se necessário, você poderia bloquear www.malware-spreading-site.org criando a zona primária de DNS em suas próprias caixas de DNS e apontar www para 127.0.0.1.

Em resumo, apontar máquinas internas para o DNS externo é ruim. Mau Mau Mau. Danadinho. Em segundo lugar, usar o DHCP é melhor que o GPO nesse caso.

    
por 30.06.2009 / 01:34
2

Eu vejo duas perguntas reais em sua postagem:

A designação de servidores DNS externos para clientes de domínio é uma má ideia?

Sim. Isto é.

O DNS é absolutamente crítico para o funcionamento correto do Active Directory, e os clientes que enviam solicitações DNS para servidores externos causam problemas mais cedo ou mais tarde. Ele pode ajudar se o DNS interno estiver instável, mas, nesse caso, você tem problemas maiores do que os usuários que não conseguem navegar na Web.

No máximo, isso deve ser usado como bandaid temporário durante a correção do DNS interno. E os bandaids nunca devem ser deixados por mais tempo do que o necessário.

A definição de servidores DNS via GPO é uma má ideia?

Não. Eu realmente recomendaria isso.

Existem muitos motivos pelos quais a definição de servidores DNS por meio do GPO pode ser uma boa ideia:

  • Assegura consistência em todo o seu ambiente
  • Fornece granularidade gerenciável (a modificação manual do DNS por servidor não é gerenciável, o DHCP não fornece granularidade adequada) para diferenças de configuração
  • Você pode fazer alterações em todo o ambiente muito rapidamente, sem que seus usuários precisem renovar suas concessões de DHCP
  • Ele permite que você aplique políticas / bandaids / hacks (como DNS split-horizon) sem que seus usuários (des) os ignorem intencionalmente
  • Você controla

Em um ambiente simples, isso pode ser mais problemático do que vale a pena. Mas se você tem um domínio, provavelmente já está além desse ponto.

    
por 30.06.2009 / 02:20
2

Como você já descobriu, usar Políticas de Grupo para atribuir DNS geralmente é uma má ideia. Há muita coisa para dar errado e a depuração pode ser um pesadelo. Em circunstâncias normais, não deveria ser necessário. Se for necessário, provavelmente é hora de dar uma boa olhada em toda a configuração de rede para determinar por que é necessário e ver se talvez seja mais apropriado fazer alterações em outro lugar.

    
por 30.06.2009 / 06:30
1

Eu dou um bom motivo para você usar o GPO para definir as configurações de DNS. Em um ambiente de servidor múltiplo e dinâmico, todos os servidores possuem configurações de IP estático. GPO sobrescrever esses, DHCP não.

    
por 28.12.2011 / 16:11

Tags

Qual deve ser a configuração da memória? Como eu aponto clientes para o servidor NTP?