Vou fazer vários pontos aqui. Alguns estão relacionados à sua pergunta específica e alguns são informações gerais sobre o DNS do AD.
-
O comportamento padrão do DNS em um domínio do AD é que a
_msdcs
zone seja definida como Ad-integrated e replicada para todos os servidores DNS da floresta. Isso significa que todos os servidores DNS na floresta manterão uma cópia dessa zona. -
O comportamento padrão do DNS em um domínio do AD é que a zona do FQDN do domínio seja definida como Integrada ao anúncio e replicada para todos os servidores DNS no domínio. Isso significa que todos os servidores DNS em cada domínio manterão uma cópia de sua zona FQDN.
-
Durante o processo DCPROMO do domínio filho, uma delegação para o domínio filho para o servidor DNS filho será criada na zona pai no servidor DNS pai. Consultas DNS totalmente qualificadas para o domínio filho do domínio pai serão "encaminhadas" para o servidor DNS filho.
-
Durante o processo DCPROMO do domínio filho, um encaminhador será criado no servidor DNS filho para o servidor DNS pai. Este não é um encaminhador condicional (e não precisa ser). Você deve ver isso na guia Encaminhadores nas propriedades do servidor DNS filho. O servidor DNS filho encaminhará consultas para zonas DNS para as quais não é autoritativo para o servidor pai. Isso está ligado ao meu próximo ponto.
-
A devolução de DNS realiza a resolução de nomes de consultas de rótulo único de registros da zona pai a partir do domínio filho. Por exemplo, se você executar nslookup do domínio filho para
FileServer1
, a primeira consulta será realmenteFileServer1.UK.Eur.Corp.Domain.com
(porque o sufixo DNS primário do domínio filho é anexado à consulta). Quando isso falha (NXDOMAIN é retornado), a devolução de DNS envia uma consulta paraFileServer1.Eur.Corp.Domain.com
, que é encaminhada ao servidor DNS pai (porque o servidor DNS filho é autoritativo somente para oUK.Eur.Corp.Domain.com
zone. As consultas para todos os outros nomes de domínio são encaminhado para o servidor pai. O servidor pai é autoritativo para aEur.Corp.Domain.com
zone e, portanto, resolve a consulta. Se a consulta fosse porwww.google.com
, o servidor DNS filho encaminharia novamente a consulta ao servidor DNS pai e o servidor DNS pai usaria encaminhadores configurados ou dicas de raiz para resolver a consulta. -
Para hosts no domínio pai para resolver nomes de rótulo único no domínio filho, eles precisarão ser configurados com uma lista de pesquisa de sufixos DNS que inclua o sufixo DNS do domínio filho. Você pode configurar isso para todos os membros do domínio pai usando a Diretiva de Grupo. Observe que essa configuração de GPO substitui o sufixo DNS principal e o sufixo DNS específico da conexão, portanto, você precisará adicionar os sufixos DNS pai e filho a essa configuração de Diretiva de Grupo (
Eur.Corp.Domain.com
eUK.Eur.Corp.Domain.com
). Observe também que você precisa configurar este SOMENTE no domínio pai.